2026-01-12 00:54:14

#钱包安全漏洞 Ao ver o assunto da Trust Wallet, a primeira coisa que me vem à mente é o incidente The DAO de 2016. Naquela época também havia vulnerabilidades a nível de código-fonte, e também aconteceu precisamente quando não deveria — perto do Natal, quando os hackers escolheram com precisão a janela de tempo. A história repete-se de forma desconfortável.

A tática da Trust Wallet desta vez foi mais agressiva: 12 de dezembro reconhecimento, 22 de dezembro implantação de backdoor, 25 de dezembro início da transferência de fundos — todo o cronograma foi executado com precisão cirúrgica. Os atacantes modificaram diretamente o código-fonte, usando a ferramenta legítima PostHog como cobertura, e roubaram as palavras-chave através do campo de mensagem de erro. Do ponto de vista técnico, isto já não é um ataque simples à cadeia de fornecimento, mas sim de nível APT — as credenciais dos programadores provavelmente já tinham sido comprometidas há muito tempo.

A perda de mais de 6 milhões de dólares é chocante em si, mas o que é ainda mais alarmante é que isto expõe um dilema fundamental na segurança das carteiras: nenhum algoritmo de criptografia consegue proteger contra compromissos internos. Tenho vivenciado vários incidentes de segurança no ecossistema cripto ao longo dos anos, e sempre penso "desta vez deve ser o último", mas a verdade é que enquanto existir um mecanismo de atualização centralizado, este risco persiste. MetaMask, imToken, Exodus — todas estas carteiras já passaram por momentos semelhantes de susto.

A reflexão crítica é: alguns investidores ainda perguntam "se eu atualizar para a versão 2.69 fico seguro", e o que eu digo é que estão a fazer a pergunta errada. A questão real é: quanto mais de confiança ainda vai depositar em terceiros? Os jogadores experientes que realmente se importam com segurança já regressaram a carteiras de hardware ou carteiras autodeterminadas. A abertura e facilidade de uso da Trust Wallet foram outrora as suas vantagens, mas perante uma ameaça de APT, tudo isto se torna superfície de ataque.

Se ainda está a usar este tipo de carteira extensível, recomendo que faça agora três coisas: desconecte imediatamente da internet e verifique tudo, exporte as chaves privadas para uma carteira offline, e depois — considere se não deveria reavaliar completamente a sua estratégia de gestão de ativos.

Ver original

Esta página pode conter conteúdos de terceiros, que são fornecidos apenas para fins informativos (sem representações/garantias) e não devem ser considerados como uma aprovação dos seus pontos de vista pela Gate, nem como aconselhamento financeiro ou profissional. Consulte a Declaração de exoneração de responsabilidade para obter mais informações.