Hacker News 中文摘要

RSS订阅

币安Trust Wallet扩展遭黑客攻击,用户损失700万美元 -- Binance's Trust Wallet extension hacked; users lose $7M

原文链接 | HN讨论 | 2025-12-30 13:25:08

文章摘要

币安旗下Trust Wallet浏览器扩展程序遭黑客攻击,造成用户损失700万美元。该事件再次引发对Web3安全性的质疑。

文章总结

币安Trust Wallet插件遭黑客攻击,用户损失700万美元

事件概述

2025年12月25日,币安旗下非托管钱包Trust Wallet的Chrome扩展程序遭供应链攻击。黑客在插件更新至2.68版本时植入恶意代码,窃取用户钱包助记词并转移资产,造成约700万美元损失。币安创始人赵长鹏(CZ)承诺全额赔偿受影响用户,尽管他本人因美国刑事指控已不再参与公司管理。

关联事件(节选)

  1. 地址投毒诈骗(2025年12月19日)

    • 一名加密货币交易员因误认相似钱包地址,误将5000万美元泰达币(USDT)转入骗子账户。

  2. Yearn Finance第四次漏洞(2025年12月16日)

    • 该DeFi协议因遗留合约漏洞再遭攻击,损失约30万美元ETH,此前已累计损失超2800万美元。

  3. Ribbon Finance被黑(2025年12月12日)

    • 攻击者利用预言机价格操纵漏洞盗取270万美元,平台计划挪用“休眠用户”资金补偿活跃用户。

  4. 币安员工违规推广代币(2025年12月8日)

    • 一名员工利用公司账号炒作自创MEME币,币安称其“滥用职权”并暂停其职务。

  5. Upbit交易所遭黑客攻击(2025年11月27日)

    • 韩国交易所Upbit损失3000万美元Solana链资产,疑似朝鲜黑客组织Lazarus所为。

事件标签

  • 主题:黑客/诈骗
  • 技术:供应链攻击、DeFi漏洞、地址诈骗
  • 区块链:以太坊、BNB Chain、Solana

(注:原文中部分社交媒体链接及配图说明未保留,仅提炼核心事实。)

评论总结

总结评论内容如下:

  1. 加密货币的安全隐患

    • 观点:加密货币在实践中有巨大风险,无论是自行保管还是委托第三方都存在安全隐患。
    • 引用:
      • "If securing it yourself, it's so easy to mishandle and either destroy your wealth or have it stolen."(如果自行保管,很容易因操作不当导致资产损失或被盗。)
      • "If delegating it to an 'expert' you risk the custodial agent falling victim to theft/exit scam/ineptitude."(如果委托给“专家”,可能面临托管方被盗、跑路或无能的危险。)

  2. Web3的技术缺陷

    • 观点:Web3基于Web1和2技术构建,浏览器环境不适合处理私钥等敏感信息。
    • 引用:
      • "This hack was targeting seed phases or private key because the keys have to be stored in the browser extension. How insane is that?"(此次攻击针对种子短语或私钥,因为它们必须存储在浏览器扩展中,这很荒谬。)
      • "Ultimately if the extension or web app is compromised an hardware wallet cannot really ultimately protect you."(如果扩展或网页应用被攻破,硬件钱包也无法完全保护用户。)

  3. 对中心化机构的依赖与质疑

    • 观点:尽管加密货币倡导去中心化,但用户仍依赖中心化机构(如Binance)的赔付机制。
    • 引用:
      • "As anti-crypto as I am, it’s worth pointing out that users aren’t out a penny - binance will reimburse them."(尽管我反对加密货币,但Binance会全额赔付用户损失。)
      • "Not your keys, not your coins."(非你掌控私钥,则非你真正拥有的资产。)

  4. 讽刺与调侃

    • 观点:部分评论以幽默方式质疑项目名称或技术可靠性。
    • 引用:
      • "But it has trust in the name. How can it be hacked?"(名字里有“信任”二字,怎么会被黑?)
      • "Creating any kind of wallet in Javascript with its gazillion dependencies is always going to be a roll of the dice."(用依赖繁多的JavaScript创建钱包就像掷骰子一样冒险。)

  5. 市场波动与监控用途

    • 观点:加密货币价格波动本身可能导致损失,也有人提出用钱包检测入侵。
    • 引用:
      • "I'm sure users lost more than $7M over the last few weeks just by holding Bitcoin."(仅持有比特币,用户过去几周的损失可能已超700万美元。)
      • "Anyone else using a crypto wallet as a way to detect intrusion?"(是否有人用加密货币钱包来检测入侵?)

总结:评论主要围绕加密货币的安全风险、技术局限性、对中心化机制的依赖展开,同时包含对行业现状的讽刺。核心矛盾在于去中心化理想与实际操作中不得不依赖中心化解决方案的困境。