近日,一场针对以太坊虚拟机(EVM)兼容链上钱包的广泛攻击引发了行业高度关注。据链上侦探ZachXBT披露,攻击者已清空了“数百个”加密钱包,尽管单笔损失金额较小,但波及范围甚广。更令人担忧的是,此次事件可能与去年圣诞节期间造成700万美元损失的Trust Wallet黑客事件存在潜在关联,再次将加密货币安全这一永恒话题推至风口浪尖。
据市场分析,此次攻击呈现出“广撒网、小额盗取”的特征。ZachXBT指出,每个受害者的损失金额普遍低于2000美元,但攻击影响了多个EVM兼容网络,表明这是一次广泛性事件,而非局限于单一区块链。网络安全提供商Hackless将此次攻击描述为“自动化的、大范围的漏洞利用”,并警告用户应立即撤销智能合约授权并持续监控钱包动态。
此次攻击事件发生的背景,正值整个加密市场在经历2023年末的复苏后,对安全性的需求达到前所未有的高度。尽管PeckShield报告显示,去年12月因黑客攻击造成的损失同比下降了60%,但针对钱包和基础设施的复杂攻击手段仍在不断演变。投资者在享受市场上涨红利的同时,也必须对潜在的安全威胁保持高度警惕。
网络安全研究员Vladimir S.分析称,攻击者可能通过伪装成Web3钱包MetaMask合法通知的欺诈性电子邮件作为攻击载体。值得注意的是,有线索将此次广泛的钱包清空攻击与圣诞节发生的Trust Wallet黑客事件联系起来。在Trust Wallet事件中,共有2596个钱包受损,损失高达700万美元。
根据Trust Wallet的事件报告,去年11月发生的“Sha1-Hulud”供应链攻击可能是罪魁祸首。该攻击破坏了加密货币项目常用的npm软件包。攻击者通过泄露的Trust Wallet GitHub开发者“密钥”,获取了其浏览器扩展的源代码,随后在Chrome网上应用店上传了伪装成合法扩展的恶意版本。
分析师指出,此类高度针对性的攻击背后可能存在“内鬼”。政府间区块链顾问Anndy Lian认为:“这种‘黑客攻击’并不自然。内部人员作案的可能性很高。”币安联合创始人兼前首席执行官赵长鹏(CZ)也同意这一观点,认为事件可能源于对Trust Wallet源代码有深入了解的内部人员。币安是Trust Wallet的所有者。据悉,此次攻击主要针对Trust Wallet的谷歌Chrome浏览器扩展,其移动应用程序未受影响,币安已同意对用户损失进行赔偿。
展望未来,随着加密货币应用的不断深入和资产规模的扩大,安全防线将面临更加严峻的考验。供应链安全、内部风险管控以及用户教育将成为行业防御体系的重中之重。投资者应关注钱包安全最佳实践,如谨慎处理不明链接和邮件、定期审查并撤销不必要的智能合约授权、优先使用硬件钱包存储大额资产等。只有构建起多层次、动态演进的安防生态,才能为加密资产的未来航行保驾护航。
