2025-12-26 18:25:18

La extensión del navegador Trust Wallet ha descubierto recientemente un incidente de seguridad muy grave: el funcionario emitió un aviso de emergencia para la versión 2.68, aconsejando a los usuarios desactivarla inmediatamente y actualizar a la 2.69. Lo curioso del problema es que mucha gente no ha tomado la iniciativa de actualizar en absoluto.

Mira, si instalas la versión 2.67 y luego reinicias Chrome, el plugin se actualizará automáticamente a la 2.68. Una vez que se realiza cualquier firma, tu frase semilla puede filtrarse. Esto no es una grieta complicada, es un pozo en el enlace de actualización.

Aquí es donde está la parte incómoda: las "mejoras de seguridad" se supone que son lo opuesto a los riesgos, pero resultan ser la puerta de entrada a los riesgos. La cartera fue hackeada no porque el algoritmo fuera descifrado o violentamente manipulado, sino porque apareció una polilla durante la iteración del software. Si usas tu cartera paso a paso y firmas una transacción con normalidad, los datos sensibles que nunca deberían aparecer en ningún sitio quedarán expuestos directamente al atacante: la semilla, la frase mnemónica, la clave derivada y los materiales relacionados pueden filtrarse.

Este asunto merece la pena despertar. Para los usuarios de Web3, cada versión de la cartera requiere una mente a largo plazo.

Ver originales

Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.

16 me gusta

Recompensa
16
6
Republicar
Compartir

Comentar

0/400

SatoshiLeftOnRead

· hace21h

Esto es absurdo, subir de nivel y que te apuñalen La actualización de seguridad se convierte en una vulnerabilidad de seguridad, increíble ¿Debería desinstalar Trust Wallet de verdad? Pensé que solo era un pequeño bug, no esperaba que fuera tan expuesto Hoy en día ni siquiera puedes confiar en tu billetera Actualizar la cadena de bloques con trampas... qué método tan profesional ¿Las frases de recuperación pueden filtrarse? Esto no es un juego No es de extrañar que últimamente en el grupo se quejen de Trust La propia actualización se ha convertido en la mayor vía de riesgo Parece que tengo que controlar manualmente la versión, la actualización automática es demasiado molesta Debo echar un vistazo rápidamente a qué versión tengo instalada

Ver originalesResponder0

RektRecovery

· 12-26 18:55

jajaja así que la "actualización de seguridad" fue en realidad la vulnerabilidad todo este tiempo... momento clásico de web3. ¿auto-actualización en un honeypot? eso no es un error, eso es simplemente darwinismo con pasos adicionales.

Ver originalesResponder0

FOMOrektGuy

· 12-26 18:55

Vaya, resulta que la actualización de seguridad se convirtió en una puerta trasera, increíble

Ver originalesResponder0

Layer2Observer

· 12-26 18:40

El diseño de actualización automática es absurdo, ni siquiera lo han pensado bien --- Desde el análisis a nivel de código fuente, este tipo de vulnerabilidad en realidad es una mala gestión de permisos, bastante básica --- Espera, ¿la frase mnemónica se revela directamente en la memoria? ¿No se están siguiendo las normas básicas de gestión de claves? --- Honestamente, el mecanismo de actualización debería tener una ventana de confirmación, ¿cómo es que las grandes empresas lanzan proyectos tan grandes y por defecto lo forzan? --- Parece que el proceso de auditoría de seguridad de las wallets Web3 realmente necesita ser revisado desde cero --- ¿El número de versión 2.68 todavía está en entorno de producción? ¿Tiene datos oficiales? --- Pensándolo bien, ¿por qué no se detectan estos problemas en la fase de pruebas... qué pasa con el proceso de revisión de código? --- Vaya, la confianza ya era frágil, y ahora esto duele aún más --- Necesito aclarar una cosa, ¿esto significa que una sola operación de firma puede revelar toda la frase mnemónica, o solo es un riesgo de exposición? Esto requiere más verificación --- La iteración de las wallets debería fortalecer la confianza, pero en cambio se convierte en una oportunidad para destruirla, realmente vale la pena revisarlo

Ver originalesResponder0

DisillusiionOracle

· 12-26 18:31

¡Madre mía, ¿la actualización automática es una trampa? Esto es aún más absurdo que ser atacado! --- La confianza se va a cero directamente, actualizarse se convirtió en un boleto de entrada trasero --- Qué absurdo, normalmente solo firmar una transacción con la frase semilla desaparece, ¿quién pensaría en eso? --- Otra vez, la culpa la tiene la actualización automática. Ahora cuando veo una advertencia en el navegador, quiero desinstalarla --- ¿Trust Wallet? Más bien sería Trust Trap, ¿no? --- Así que ahora incluso las actualizaciones hay que hacerlas con mucho cuidado, como si fueras a robar --- ¿Hasta qué punto tienen que ser malos los procesos de iteración para que se filtre la frase semilla? --- La traición más dolorosa es la que viene de una herramienta en la que confías --- ¿La frase semilla se expone directamente al firmar? ¿Qué pasa con el equipo de seguridad? --- Las trampas en el proceso de actualización, es como si abrieran la puerta trasera a los hackers a propósito --- Seguir guardando en una cartera fría uno mismo es más confiable, estas extensiones de navegador realmente

Ver originalesResponder0

DancingCandles

· 12-26 18:28

Resulta que la actualización en realidad es una trampa, qué absurdo Las cosas relacionadas con la billetera realmente hay que vigilarlas de cerca, no se puede ser negligente Dejar la frase de recuperación expuesta directamente, esta operación fue increíble La actualización automática es la más peligrosa, mejor hacerlo manualmente Actualizar en lugar de mejorar, te pueden aprovechar, web3 realmente es emocionante

Ver originalesResponder0