新年伊始,加密世界再响安全警报。据链上侦探ZachXBT披露,一场针对以太坊虚拟机(EVM)兼容链钱包的广泛攻击正在发生,已有“数百个”钱包被悄然清空。尽管单笔损失看似不大,但攻击波及多个网络,且手法与去年12月造成700万美元损失的Trust Wallet黑客事件存在潜在关联,为2024年的加密资产安全敲响了第一记警钟。
据ZachXBT分析,此次攻击呈现出“广撒网、低价值”的特征。受害者遍布多个EVM兼容网络,表明攻击并非针对单一区块链。值得注意的是,每个受害钱包的损失金额被控制在2000美元以下,这种化整为零的策略可能意在规避关注。网络安全研究员Vladimir S.指出,攻击的入口可能是一封伪装成MetaMask官方通信的欺诈性电子邮件。
网络安全提供商Hackless将此事件定性为“自动化的、大范围的漏洞利用”,并紧急呼吁用户立即撤销不必要的智能合约授权,并持续监控钱包活动。分析师指出,这种低额度、广覆盖的攻击模式,使得普通用户更容易放松警惕,其危害性不容小觑。
市场背景分析显示,此次事件并非孤立。Vladimir S.等多位研究人员认为,它与2023年圣诞节发生的Trust Wallet大规模攻击事件存在潜在联系。回顾该事件,Trust Wallet的浏览器扩展程序遭到供应链攻击,导致约2596个钱包受损,总计损失达700万美元。Trust Wallet的事后报告将根源指向了11月的“Sha1-Hulud”供应链攻击,该攻击污染了加密货币项目常用的npm软件包。
更值得关注的是,有观点认为Trust Wallet事件可能存在“内鬼”因素。跨政府区块链顾问Anndy Lian直言:“这种‘黑客攻击’并不自然。内部人员的可能性很高。”币安联合创始人、前CEO赵长鹏(CZ)也认同,攻击者可能非常了解Trust Wallet的源代码。据悉,攻击者通过泄露的GitHub开发者密钥获得了浏览器扩展的源代码,随后在Chrome网上应用商店上传了恶意版本。
结尾预测:随着加密生态的复杂化,供应链攻击和社交工程相结合的综合型威胁,正取代传统的单一漏洞利用,成为Web3安全的主要挑战。尽管PeckShield数据显示2023年12月加密黑客造成的损失同比下降了60%,但攻击手段正变得更加隐蔽和持久。投资者应关注,钱包安全已从“保管好私钥”的单一维度,扩展到对浏览器扩展、软件依赖包乃至开发环境的全链条警惕。未来,行业除了需加强代码审计和实时监控,建立更透明的应急响应与用户赔偿机制,也将是重建市场信心的关键。
