Trust Wallet 开始对 $7 百万美元浏览器扩展程序黑客事件的受害者进行赔偿

来源：CryptoTicker 原标题：Trust Wallet开始对$7 百万浏览器扩展黑客事件的受害者进行赔偿 原始链接：https://cryptoticker.io/en/trust-wallet-begins-compensation-for-victims-of-dollar7-million-browser-extension-hack/ 当钱包提供商声称自我托管时，用户期望软件层面是绝对安全的。本周，这一信任受到打击，Trust Wallet确认其Chrome浏览器扩展的恶意更新导致约$7 百万数字资产被盗。现在，该公司表示正迅速行动，弥补受影响的用户。

在发现漏洞两天后，Trust Wallet宣布已启动正式的赔偿流程，针对受损的Chrome扩展版本2.68的受害者。

赔偿流程如何运作

Trust Wallet已开通官方索赔门户，受影响的用户可以提交与攻击相关的详细信息。表格要求提供基本身份信息，如电子邮件地址和所在国家，以及技术证据，包括被攻占的钱包地址、攻击者接收地址和交易哈希。

公司表示，每份提交的内容都将进行单独审查。根据Trust Wallet的说法，这一验证过程对于防止错误、虚假索赔或进一步滥用情况至关重要。

在一份公开声明中，公司表示正日夜工作，尽快完成赔偿并确保准确性，同时在整个过程中保持安全。

被盗内容及资金去向

此次漏洞导致多条区块链上的资产损失，包括比特币、以太坊和索拉纳。区块链安全公司PeckShield估计，已被盗的资金中有超过$4 百万已通过ChangeNOW、FixedFloat等中心化交易所以及一些主要平台流转。

根据最新的链上数据，攻击者控制的钱包中仍大约有$2.8百万的资金。

赔偿已确认

为用户提供保障，一位知名交易所的创始人在公开场合确认，所有经过验证的损失都将得到赔偿。在公开声明中确认，受影响的资金约为$7 百万，Trust Wallet将全额赔偿用户，强调用户资金依然安全。

事件发生经过

该事件最早由链上调查员ZachXBT发出警告，称在12月24日的更新后不久，多个Trust Wallet用户报告余额被清空。

Trust Wallet的内部调查显示，一把泄露的Chrome Web Store API密钥被用来在12月24日UTC时间12:32发布了恶意扩展更新。这使攻击者能够绕过公司内部的发布控制。

安全公司SlowMist随后确认了恶意代码，该代码利用了修改过的开源分析库来收集钱包助记词。一旦被攻破，攻击者可以在无需用户进一步操作的情况下迅速转移资金。

受影响用户与未受影响用户

仅使用版本2.68的Chrome扩展的用户受到影响。Trust Wallet于12月25日推送了修复版本2.69。据CEO Eowyn Chen介绍，在12月26日UTC时间11点之前登录扩展的用户可能已暴露。

移动应用用户和使用其他浏览器版本的用户未受到影响。据其Web Store的列表显示，Chrome扩展的用户接近一百万。

警惕假冒赔偿诈骗

Trust Wallet也提醒用户保持警惕。在此次事件发生后，假冒的赔偿表单和冒充诈骗已开始流传。公司强调，索赔只能通过其官方支持门户提交，并警告用户绝不在任何情况下分享恢复短语或私钥。

未来的意义

此次事件提醒我们，即使是知名的钱包提供商也仍面临供应链风险，尤其是通过浏览器扩展。虽然Trust Wallet决定全额赔偿用户，有助于恢复信心，但此次漏洞也凸显了单一泄露的凭证如何引发数百万的损失。

对用户而言，教训简单但令人不适：更新很重要，验证很重要，浏览器扩展仍是加密生态中最脆弱的目标之一。