2025-12-26 18:25:18

Trust Wallet浏览器扩展 recentemente revelou um incidente de segurança bastante preocupante — a equipa oficial publicou um aviso de emergência para a versão 2.68, recomendando aos utilizadores que desativem imediatamente e atualizem para a versão 2.69. A parte estranha é que muitas pessoas nem sequer fizeram a atualização manualmente.

A situação é a seguinte: se tens a versão 2.67 instalada e reinicias o Chrome, o plugin será automaticamente atualizado para a versão 2.68. Assim que realizas qualquer operação de assinatura, a tua frase-semente pode ser potencialmente exposta. Não se trata de uma quebra de segurança complexa, mas sim de uma armadilha embutida no processo de atualização.

O que torna tudo ainda mais desconfortável é que — "atualização de segurança" deveria ser algo que reduz riscos, mas, neste caso, acabou por se tornar uma porta de entrada para eles. A carteira foi comprometida não por algoritmos serem quebrados ou por ataques de força bruta, mas por um problema durante a atualização do software. Seguindo o procedimento normal de uso, ao assinar uma transação, dados sensíveis que nunca deveriam estar expostos — como a semente, a frase-semente, materiais de derivação de chaves — podem ser revelados aos atacantes.

Este incidente realmente serve de alerta. Para os utilizadores de Web3, cada atualização da carteira exige uma atenção redobrada.

Ver original

Esta página pode conter conteúdos de terceiros, que são fornecidos apenas para fins informativos (sem representações/garantias) e não devem ser considerados como uma aprovação dos seus pontos de vista pela Gate, nem como aconselhamento financeiro ou profissional. Consulte a Declaração de exoneração de responsabilidade para obter mais informações.

14 gostos

Recompensa
14
6
Republicar
Partilhar

Comentar

0/400

SatoshiLeftOnRead

· 11h atrás

Isto é um absurdo, subir de nível e acabar sendo apunhalado A atualização de segurança virou uma vulnerabilidade, inacreditável Será que realmente devo desinstalar a Trust Wallet? Eu achava que era apenas um pequeno bug, mas não, foi um ataque direto Hoje em dia, nem mesmo confiamos nas carteiras Atualizar a cadeia de blocos colocou uma armadilha... a técnica é bastante profissional A divulgação da frase de recuperação também pode acontecer? Isso não é brincadeira Não é de admirar que recentemente o grupo esteja reclamando da Trust A própria atualização se tornou a maior porta de risco Parece que preciso controlar manualmente a versão, a atualização automática é muito nojenta Tenho que dar uma olhada rápida na versão que estou usando

Ver originalResponder0

RektRecovery

· 12-26 18:55

lmao então a "atualização de segurança" foi a exploração o tempo todo... momento clássico do web3. atualização automática para um honeypot? isso não é um bug, é apenas darwinismo com passos extras.

Ver originalResponder0

FOMOrektGuy

· 12-26 18:55

Agora, que raio, a atualização de segurança acabou por se tornar uma porta dos fundos, é absurdo

Ver originalResponder0

Layer2Observer

· 12-26 18:40

Automatizar esta atualização é simplesmente absurdo, nem sequer pensaram bem nisso --- Analisando a nível de código fonte, esse tipo de vulnerabilidade na verdade é uma má gestão de permissões, bastante básica --- Espera aí, a frase de recuperação de memória está exposta diretamente na memória? Isso não viola as normas básicas de gestão de chaves? --- Para ser honesto, o mecanismo de atualização deveria ter uma janela de confirmação, grandes empresas com projetos tão grandes não deveriam forçar a atualização por padrão --- Parece que o processo de auditoria de segurança de carteiras Web3 realmente precisa ser revisado do zero --- O número de versão 2.68 ainda está rodando em ambiente de produção? A equipe oficial tem dados sobre isso? --- Pensando ao contrário, por que esses problemas não foram detectados na fase de testes... Como é o processo de revisão de código? --- Droga, a confiança já é frágil por natureza, agora ficou ainda mais difícil de confiar --- Preciso esclarecer uma coisa, isso significa que uma única assinatura pode revelar toda a frase de recuperação, ou é apenas uma exposição ao risco? Precisa de mais verificações --- A evolução das carteiras deveria fortalecer a confiança, mas acabou se tornando uma oportunidade de destruí-la, realmente vale a pena revisar esse processo

Ver originalResponder0

DisillusiionOracle

· 12-26 18:31

Meu Deus, atualização automática e armadilha? Isso é ainda mais absurdo do que ser atacado --- A confiança vai direto para zero, a atualização virou um ingresso com porta dos fundos --- Inacreditável, só de assinar uma transação e a frase de recuperação desaparece, quem iria imaginar --- Mais uma vez, a culpa é da atualização automática, agora até ao ver o aviso no navegador quero desinstalar --- Trust Wallet? Mais parece Trust Trap, hein --- Por isso, agora até para atualizar tem que ser com cuidado como se fosse evitar ladrões --- Que processo de iteração tão ruim esses caras devem ter para acabar vazando a frase de recuperação --- A traição mais dolorosa vem de uma ferramenta em quem você confia --- A frase de recuperação fica exposta na assinatura? E a equipe de segurança? --- Burla na cadeia de atualização, é como abrir uma porta dos fundos para hackers de propósito --- Ainda é mais seguro guardar o dinheiro em uma carteira fria, esses extensões de navegador realmente

Ver originalResponder0

DancingCandles

· 12-26 18:28

Então, a atualização acaba por ser uma armadilha, que absurdo isso Coisas como carteiras realmente precisam de atenção total, não se pode vacilar Deixar a frase de recuperação exposta assim, essa jogada foi demais A atualização automática é a mais perigosa, melhor fazer manualmente Atualizar e acabar sendo explorado, o Web3 é realmente emocionante

Ver originalResponder0