近日,一场针对以太坊虚拟机(EVM)兼容链上钱包的神秘攻击,在加密社区引发震动。据链上侦探ZachXBT披露,已有“数百个”加密钱包资产被悄然掏空。值得注意的是,攻击者手法隐蔽,从每个受害者钱包中仅窃取少量资金(单笔损失低于2000美元),但波及网络广泛,显示出这是一次大面积、低单价的自动化漏洞利用事件。网络安全专家警告,这起事件可能与去年圣诞节造成700万美元损失的Trust Wallet黑客攻击存在潜在关联,为所有加密资产持有者再次敲响了安全警钟。
核心数据显示,尽管单钱包损失金额不大,但攻击范围覆盖了多个EVM兼容网络,表明威胁并非孤立存在。据ZachXBT分析,此次事件中,每个受害者的损失均控制在2000美元以下。这种“广撒网、小额盗取”的策略,降低了被即时发现的风险,也使得追踪和追回难度增大。网络安全提供商Hackless将此形容为“自动化的、大范围的漏洞利用”,并紧急呼吁用户立即撤销不必要的智能合约授权,并持续监控钱包动态。
市场背景分析认为,此类攻击频发与加密生态的复杂性和安全措施的滞后性密切相关。回顾近期市场,虽然据PeckShield报告,去年12月加密领域因黑客攻击造成的总损失同比下降了60%,但针对钱包和基础设施的“供应链攻击”与“社会工程学攻击”正成为新的威胁主流。此次事件中,网络安全研究员Vladimir S.指出,伪装成Web3钱包MetaMask官方邮件的欺诈邮件,可能是此次攻击的入口。这揭示了攻击手段正从单纯的技术漏洞,向利用用户心理和信任感的组合拳演变。
更值得投资者关注的是,此次攻击被指与去年12月25日的Trust Wallet黑客事件存在潜在联系。在那起事件中,约有2596个钱包遭入侵,总计损失达700万美元。Trust Wallet的事后报告将原因指向了11月的“Sha1-Hulud”供应链攻击,该攻击污染了加密项目常用的npm软件包。攻击者通过泄露的Trust Wallet GitHub开发者“密钥”,获取了其浏览器扩展的源代码,并随后在Chrome网上应用商店上传了恶意版本。对此,跨政府区块链顾问Anndy Lian及币安联合创始人CZ均暗示,此类需要深度了解源代码的“非自然”攻击,内部人员作案的可能性很高。所幸,当时仅浏览器扩展受影响,移动端应用无恙,且币安承诺对用户损失进行赔偿。
结尾预测部分,分析师指出,随着加密资产价值的攀升和用户基数的扩大,针对钱包和入口的精细化、自动化攻击预计将持续增加。行业在加强代码审计和供应链安全的同时,普通用户提升安全意识、谨慎处理不明链接和授权、优先使用硬件钱包等冷存储方案,将成为保护资产的最关键防线。未来,加密安全之战将更多地在“人性弱点”与“技术堡垒”的交锋线上展开,持续的警惕和教育投入比以往任何时候都更为重要。
