廣場
最新
熱門
新聞
我的主頁
發布
区块链美食家
2025-12-29 15:22:33
關注
圈里摸爬滚打這些年,見過不少風浪,但這次某熱門錢包瀏覽器擴展的黑客事件還是讓人背後發涼——官方正式版居然成了入侵工具,這一記悶棍打醒了多少人對「安全幻覺」的依賴?
**時間線:精心設計的聖誕劫持**
故事從12月8日開始。黑客註冊了一個仿冒域名api.metrics-trustwallet[.]com,埋伏兩周沒動靜。到了12月22日,一個被篡改的v2.68.0版本通過官方渠道推送了出去。
等到聖誕節當天,資金轉移開始。鏈上追蹤專家ZachXBT的監測數據顯示,短短幾天內至少600到700萬美元的加密資產就這樣消失了,受害用戶數百人。
**黑客的真正聰明之處**
這不是什么粗暴的伺服器入侵。黑客在代碼裡塞進去一個看起來很無害的PostHog數據分析工具——就是那種錢包公司日常都會用的東西。但這玩意兒留了個後門:當用戶充值完畢、重新打開錢包時,它就會悄悄把助記詞給竊取走。
這是供應鏈攻擊的教科書式案例。不是黑了伺服器,而是在官方發布的渠道裡下毒——讓用戶自己把密鑰交給盜賊。
查看原文
此頁面可能包含第三方內容,僅供參考(非陳述或保證),不應被視為 Gate 認可其觀點表述,也不得被視為財務或專業建議。詳見
聲明
。
14人按讚了這條動態
讚賞
14
6
轉發
分享
留言
0/400
留言
FrontRunFighter
· 01-01 15:22
供應鏈毒藥的最佳例證……他們甚至不用攻破堡壘,只是戴著企業徽章走進正門。PostHog 現在看起來真的很可疑,說實話
查看原文
回復
0
gas_fee_therapist
· 01-01 14:23
我就說這種事早晚要出,trust wallet這麼大個錢包都淪陷了,咱們還敢信誰啊? 官方渠道投毒這操作真絕了,防不勝防。 700萬刀說沒就沒,這才叫真正的rug pull。 不用更新成了新梗了,一看官方推版本我現在都得多想想。 PostHog後門這手法我得記住,太細緻了。 早就該多錢包分散,把雞蛋都放一個籃子裡活該。 這事兒要我說就是生态不成熟,还得靠自我保护。 助記詞被盜這還怎麼救,只能自認倒霉了吧。 供應鏈卡脖子,crypto裡也免不了啊。 看来没有绝对安全这回事儿,只能说谁入侵成本高。
查看原文
回復
0
薛定谔的FOMO
· 2025-12-29 15:50
我不在 we can't trust anything 是吧,連官方都能被搞,這下好了 狗系數又漲了 我靠這手法絕了,PostHog那坑挖得真深,下次啥都不敢點 這次真的驚到我了,600多萬美元說沒就沒,還能咋玩 官方渠道都淪陷,我們還能信誰啊 供應鏈這一刀太狠,防不勝防啊 聖誕節劫持,這黑客腦子真特麼清楚 早就說過別太相信錢包了,這下成真了 助記詞被偷這事兒,想想都後怕 又得折騰換錢包了,真是煩死
查看原文
回復
0
灰度搬砖工
· 2025-12-29 15:41
卧槽,官方渠道都不信了,这还玩个毛啊 等等,PostHog后门这一手确实绝,我得检查下我的版本号了 千万别跟我说我也中招了,圣诞节那几天我确实更新过... 就离谱,信任也就这样吧,以后得多链部署了 这黑客真的下功夫,埋伏两周才动手,职业素养这块拿捏得死死的
回復
0
StakeOrRegret
· 2025-12-29 15:37
妈的,600到700万就这么没了,圣诞礼物变成了圣诞劫持 又一次供应链投毒,我特么还以为官方版本是堡垒呢 PostHog那个后门真绝,太狠了 这次得学乖了,冷钱包才是真爹
回復
0
RadioShackKnight
· 2025-12-29 15:24
600到700萬刀就這麼沒了,還是從正式版下手,我操這手法真的絕了 --- 官方渠道都守不住,还指望什么呢 --- PostHog後門這招我得記住,太狠了這黑客 --- 聖誕節劫持資金...這編劇都不敢這麼寫啊 --- 兩周埋伏才動手,這耐心比我存幣都強 --- 數百人被盜,ZachXBT都抓到了還能怎樣呢 --- 助記詞這樣就沒了,再多層加密也白搭啊 --- 官方自己成了最大的入侵工具,諷刺 --- 供應鏈這塊真是Web3的死穴,怎麼防都防不住 --- 話說這v2.68.0版本現在還有人在跑嗎
查看原文
回復
0
熱門話題
查看更多
#
Gate藍龍蝦重磅上線
6.78萬 熱度
#
伊朗在霍爾木茲海峽布設水雷
11.11萬 熱度
#
原油價格回落
17.18萬 熱度
#
Meta宣布收購Moltbook
1.39萬 熱度
#
沃什出任美聯儲主席提名受阻
1.99萬 熱度
熱門 Gate Fun
查看更多
Gate Fun
KOL
最新發幣
即將上市
成功上市
1
LZX
龙中虾
市值:
$2424.13
持有人數:
1
0.00%
2
Pi sat
Pi sat
市值:
$0.1
持有人數:
1
0.00%
3
HTML
HTML
市值:
$0.1
持有人數:
1
0.00%
4
spiritual
灵石
市值:
$0.1
持有人數:
1
0.00%
5
slave
天选打工人
市值:
$0.1
持有人數:
1
0.00%
置頂
Gate 廣場內容挖礦獎勵繼續升級!無論您是創作者還是用戶,挖礦新人還是頭部作者都能贏取好禮獲得大獎。現在就進入廣場探索吧!
創作者享受最高60%創作返佣
創作者獎勵加碼1500USDT:更多新人作者能瓜分獎池!
觀眾點擊交易組件交易贏大禮!最高50GT等新春壕禮等你拿!
詳情:https://www.gate.com/announcements/article/49802
網站地圖
圈里摸爬滚打這些年,見過不少風浪,但這次某熱門錢包瀏覽器擴展的黑客事件還是讓人背後發涼——官方正式版居然成了入侵工具,這一記悶棍打醒了多少人對「安全幻覺」的依賴?
**時間線:精心設計的聖誕劫持**
故事從12月8日開始。黑客註冊了一個仿冒域名api.metrics-trustwallet[.]com,埋伏兩周沒動靜。到了12月22日,一個被篡改的v2.68.0版本通過官方渠道推送了出去。
等到聖誕節當天,資金轉移開始。鏈上追蹤專家ZachXBT的監測數據顯示,短短幾天內至少600到700萬美元的加密資產就這樣消失了,受害用戶數百人。
**黑客的真正聰明之處**
這不是什么粗暴的伺服器入侵。黑客在代碼裡塞進去一個看起來很無害的PostHog數據分析工具——就是那種錢包公司日常都會用的東西。但這玩意兒留了個後門:當用戶充值完畢、重新打開錢包時,它就會悄悄把助記詞給竊取走。
這是供應鏈攻擊的教科書式案例。不是黑了伺服器,而是在官方發布的渠道裡下毒——讓用戶自己把密鑰交給盜賊。