热门话题
查看更多4.52万 热度
2.79万 热度
1.35万 热度
6.15万 热度
34.5万 热度
置顶
马年大吉,抽奖行大运!成长值新年抽奖第 1️⃣6️⃣ 期盛大来袭!
抓住新年的好运,立即参与👉 https://www.gate.com/activities/pointprize?now_period=16
🌟 如何参与?
1️⃣ 在广场发帖、评论、点赞,完成任务赚取成长值
2️⃣ 每积攒 300 积分,即可参与超值抽奖!
🎁 新年好运等你拿!奖品包括 iPhone 17、新年周边、代币等心动大礼!
活动时间:1 月 21 日 16:00 -- 1 月 31 日 24:00 (UTC+8)
活动详情: https://www.gate.com/announcements/article/49388
#BTC #ETH #GT晒单有“金”喜,在 Gate 广场晒单晒图,瓜分 $10,000!
TradFi 黄金福袋活动震撼上线,每 10 分钟狂送 1g 真金,交易不停,抽奖不断!
👉 https://www.gate.com/announcements/article/49357
🎁 50 位幸运用户 * 每人 $200 仓位体验券($10 × 20 倍)
参与方式:
1️⃣ 在 Gate 广场带话题 #Gate每10分钟送1克黄金 晒单,需包含:
交易或抽奖截图+简单体验分享
2️⃣ 或在广场创作相关图片(可使用 AI 创作),并附一句宣传语,如:
上 Gate App 抢黄金,每 10 分钟送 1g!
⏰ 1 月 20 日 17:00 – 1 月 25 日 23:59(UTC+8)
Gate TradFi 我看行,黄金福袋冲冲冲!Gate 广场创作者新春激励正式开启,发帖解锁 $60,000 豪华奖池
如何参与:
报名活动表单:https://www.gate.com/questionnaire/7315
使用广场任意发帖小工具,搭配文字发布内容即可
丰厚奖励一览:
发帖即可可瓜分 $25,000 奖池
10 位幸运用户:获得 1 GT + Gate 鸭舌帽
Top 发帖奖励:发帖与互动越多,排名越高,赢取 Gate 新年周边、Gate 双肩包等好礼
新手专属福利:首帖即得 $50 奖励,继续发帖还能瓜分 $10,000 新手奖池
活动时间:2026 年 1 月 8 日 16:00 – 1 月 26 日 24:00(UTC+8)
详情:https://www.gate.com/announcements/article/49112每天看行情、刷大佬观点,却不发声?你的观点可能比你想的更有价值!
广场新人 & 回归福利进行中!首次发帖或久违回归,直接送你奖励!
每月 $20,000 奖金等你瓜分!
在广场带 #我在广场发首帖 发布首帖或回归帖即可领取 $50 仓位体验券
月度发帖王和互动王还将各获额外 50U 奖励
你的加密观点可能启发无数人,开始创作之旅吧!
👉️ https://www.gate.com/postGate 广场「创作者认证激励计划」优质创作者持续招募中!
立即加入,发布优质内容,参与活动即可瓜分月度 $10,000+ 创作奖励!
认证申请步骤:
1️⃣ 打开 App 首页底部【广场】 → 点击右上角头像进入个人主页
2️⃣ 点击头像右下角【申请认证】,提交申请等待审核
立即报名:https://www.gate.com/questionnaire/7159
豪华代币奖池、Gate 精美周边、流量曝光等超 $10,000 丰厚奖励等你拿!
活动详情:https://www.gate.com/announcements/article/47889
Trust Wallet黑客代码漏洞:$6M 通过恶意扩展盗取加密货币
针对Trust Wallet用户的复杂攻击已导致超过$6 百万数字资产被盗,暴露了加密钱包领域最严重的安全漏洞之一。此次攻击涉及将黑客代码直接嵌入浏览器扩展的源代码中——安全研究人员将其归类为高级持续性威胁(APT)行动。
黑客代码如何利用Trust Wallet用户
2025年12月8日,攻击者注册了恶意域名metrics-trustwallet.com。两周后,即12月21-22日,安全研究人员检测到首次数据外泄尝试。黑客代码通过一种看似简单但有效的机制运行:当用户解锁其Trust Wallet浏览器扩展(版本2.68)时,恶意代码会拦截他们的加密助记词。
漏洞并非通过被攻破的第三方库或依赖引入——而是攻击者直接将恶意代码注入Trust Wallet的内部代码库。这一点至关重要:这表明威胁行为者在攻击公开之前的数周内已获得Trust Wallet开发基础设施或部署系统的访问权限。
此次攻击方法依赖于窃取用户在解锁钱包时输入的密码或密钥,从而解密助记词。黑客代码随后会解密这些助记词并将其传输到攻击者的指挥控制服务器(api.metrics-trustwallet[.]com),使黑客对受损钱包拥有完全控制权。
攻击内部:恶意黑客代码的技术细节
安全团队SlowMist通过比较Trust Wallet扩展的版本2.67和2.68,进行了详细分析,揭示了黑客代码在应用层的具体工作原理。
恶意载荷会遍历扩展中存储的所有钱包,并发出请求以提取用户的加密助记词。一旦获取,代码会使用用户在解锁时输入的认证凭据进行解密。如果解密成功——对每个合法用户而言都能成功——则暴露的助记词会自动发送到攻击者的服务器。
这种黑客代码的复杂程度显示出专业级开发水平。攻击者利用了合法的PostHogJS分析库作为掩护,将合法的分析数据重定向到其恶意基础设施。这一技术使得黑客代码能够与正常的钱包操作融为一体,难以被立即检测。
动态分析显示,一旦解密,助记词数据会嵌入网络请求的错误信息字段中——这是一种巧妙的混淆技术,允许被盗凭据在网络流量中传输而不引起立即警觉。BurpSuite流量分析确认,被盗的恢复短语在传输到攻击者服务器之前,始终被打包在errorMessage字段中。
被盗资产追踪与攻击者基础设施
根据安全研究员zachxbt披露的数据,此次盗窃在多个区块链上造成了重大损失:
事后分析显示,攻击者立即开始通过去中心化桥和多个中心化交易所转移和交换被盗资产,可能试图掩盖资金来源并增加追踪难度。
恶意域名于2025年12月8日02:28:18 UTC由域名注册商NICENIC INTERNATIONA注册。域名注册与首次数据外泄尝试之间的时间差强烈暗示这是一次精心策划的行动——黑客代码并非仓促部署,而是经过周密安排的行动的一部分。
立即行动:保护您的钱包免受类似代码攻击
Trust Wallet开发团队确认了版本2.68中的漏洞,并发布了紧急安全公告。官方建议包括以下关键措施:
如果你使用Trust Wallet的浏览器扩展:
立即断开互联网连接——在进行任何故障排除之前,这是第一步。保持连接在钱包可能已被攻破的情况下会增加资产完全丧失的风险。
离线导出你的私钥或助记词,然后立即卸载Trust Wallet扩展。绝不在任何情况下重新启用版本2.68。
在将资金转移到全新、安全的钱包后,仅升级到版本2.69(,可以是不同的钱包应用、硬件钱包或新生成的恢复短语的全新账户)。
尽快将所有资金转入新钱包地址。任何留在之前通过受影响版本2.68访问的钱包中的加密货币都应视为有风险。
此漏洞影响所有安装了版本2.68的用户,无论他们是否主动使用扩展——恶意载荷会在钱包解锁时自动执行。
为什么这被归类为APT级别的黑客代码威胁
安全分析师将此次攻击归类为复杂的高级持续性威胁(APT),原因有几方面。首先,攻击的范围和协调性表明攻击者是专业的威胁行为者,而非偶发的黑客。其次,攻击者似乎获得了Trust Wallet的开发或部署系统的访问权限,表明这是一次针对基础设施的定向攻破,而非仅仅是面向公众的钱包应用。
黑客代码的精准性——其能够针对特定的钱包解锁机制、解密受保护的短语、并通过看似合法的分析请求外泄数据——展现了其高端技术能力。域名注册到攻击被检测的这段时间长达一个月,显示出攻击者的周密策划和侦察。
此事件强烈提醒我们,即使是成熟、资源丰富的项目也可能成为复杂供应链攻击的目标。黑客代码并非外部威胁,而是作为合法应用的一部分存在,使得普通用户在安全研究人员发现异常之前难以察觉。
重要提醒:用户应假设存放在之前连接过Trust Wallet版本2.68的钱包中的任何加密资产都已处于风险之中,立即迁移到安全的替代方案至关重要。