A investigação on-chain de ZachXBT mostra que uma vulnerabilidade na extensão do navegador da Carteira Confiável levou ao roubo de mais de $6 milhões em ativos de usuários. Este artigo detalha os pormenores do ataque, o fluxo de fundos e os pontos cegos de segurança dos usuários.
A imagem completa da investigação ZachXBT.
O detetive on-chain ZachXBT revelou recentemente que um incidente de segurança envolvendo a extensão do navegador da Carteira Confiável continua a se expandir. De acordo com seus resultados de rastreamento, as carteiras de vários usuários tiveram seus ativos transferidos diretamente sem qualquer ação proativa tomada, com estimativas preliminares de perdas atingindo pelo menos 6 milhões de dólares.
Diferentemente dos links de phishing comuns ou golpes de autorização, a comumidade deste incidente reside em:
Vários usuários estão usando a extensão do navegador da Carteira Confiável \
Não houve um aviso de interação óbvio quando os ativos foram transferidos.
A saída de fundos está altamente concentrada no tempo \
Essas características levaram ZachXBT a determinar que o evento é mais provável de resultar de riscos sistêmicos no nível da extensão da carteira do que de um único ponto de fraude.
O momento e o ambiente específicos do ataque ocorreram.
A partir da linha do tempo on-chain, as transações roubadas ocorreram principalmente dentro de uma janela de tempo relativamente curta. Várias carteiras de vítimas exibiram esvaziamentos únicos ou grandes transferências quase simultaneamente, e os endereços-alvo estavam altamente dispersos.
ZachXBT apontou que a maioria dos usuários afetados estava realizando operações diárias usando extensões de navegador no desktop, incluindo interações DeFi, gerenciamento de carteira ou visualização de ativos. Esse ambiente é inerentemente mais suscetível a riscos, como permissões de extensão e injeções de script, em comparação com o mobile.
Detalhes do roubo: Como os hackers ganharam controle
Com base nas informações divulgadas, o ataque não foi realizado por meio de uma força bruta tradicional de chave privada, mas é mais provável que envolva um dos seguintes caminhos:
Vulnerabilidades de extensões de navegador foram exploradas, levando à exposição local de chaves privadas ou frases mnemônicas \
Há um problema de acesso não autorizado na versão específica.
Os atacantes podem contornar a confirmação da assinatura do usuário e iniciar transferências diretamente \
Algumas vítimas relataram que a carteira não exibiu nenhuma janela de autorização anormal, mas os ativos foram transferidos diretamente em segundo plano. Essa situação geralmente indica que o atacante obteve controle total com antecedência, em vez de uma única autorização.
Métodos de transferência de fundos e características on-chain
Nos dados on-chain, várias características óbvias podem ser observadas:
Os ativos roubados incluem criptomoedas de grande circulação, como ETH, BTC, SOL, etc.
Insira rapidamente o endereço de trânsito após a transferência ser concluída \
Então disperse através de splits, transferências multi-hop ou métodos cross-chain \
Esse modo de operação mostra que o atacante tem experiência madura em lavagem de dinheiro em cadeia e não agiu por impulso. ZachXBT acredita que alguns dos fundos podem ter sido ainda mais ocultados por meio de mistura ou pontes entre cadeias, dificultando a recuperação.
Pontos de risco chave no nível de operação do usuário
Embora a vulnerabilidade não tenha sido causada diretamente pelos usuários, ZachXBT também apontou que alguns hábitos de uso comuns podem ter amplificado os riscos:
Importe diretamente a frase mnemônica na extensão do navegador \
Armazenamento de longo prazo de grandes ativos em carteiras quentes \
Instale múltiplos plugins Web3 no mesmo navegador \
Negligenciar as atualizações e anúncios de segurança para a versão estendida \
Nesse caso, uma vez que uma exploração ocorra na extensão, um atacante pode obter acesso total a toda a carteira, deixando os usuários com pouco ou nenhum tempo de resposta.
Medidas de Acompanhamento da Carteira Confiável e Avisos da Indústria
Após a exposição do incidente, a Carteira Confiável emitiu oficialmente um alerta de segurança, confirmando que versões específicas de extensões de navegador apresentam riscos, e aconselhou os usuários a atualizar imediatamente ou parar de usar as versões afetadas. A declaração oficial também enfatizou que nenhum problema semelhante foi encontrado na aplicação móvel.
Do ponto de vista da indústria, este incidente mais uma vez destaca uma questão real: as carteiras de autocustódia não equivalem a segurança absoluta, pois vulnerabilidades no nível da ferramenta também podem levar a perdas sistêmicas.
Resumo
O incidente de roubo da Carteira Confiável divulgado por ZachXBT não é um simples caso de fraude, mas sim um incidente de segurança centralizado causado por uma vulnerabilidade de extensão de navegador. Por trás da perda de pelo menos 6 milhões de dólares, existe uma complexa interação entre ferramentas de carteira, hábitos de segurança e consciência de riscos.
Para usuários comuns, a principal percepção deste evento é:
Não confie totalmente em extensões de navegador para ativos de longo prazo \
Fique atualizado sobre anúncios de segurança e atualizações de versão \
Distinguir claramente entre carteiras quentes e armazenamento a frio \
No contexto de uma gestão de ativos de criptomoedas cada vez mais complexa, a segurança em si tornou-se um custo que não pode ser negligenciado.
* As informações não pretendem ser e não constituem aconselhamento financeiro ou qualquer outra recomendação de qualquer tipo oferecida ou endossada pela Gate.
