來自 Slow Mist 的安全研究人員已發出關於 Trust Wallet 瀏覽器擴展的重大警示,警告即使在最新更新後,仍存在嚴重漏洞。根據 mist 的報告,版本 2.69.0 本應解決先前的安全問題,但仍然包含有問題的程式碼,威脅用戶資產的安全。## 持續的風險:PostHog JS 仍然存在調查顯示,儘管 Trust Wallet 嘗試修復問題,但修補版本中仍然嵌入了 PostHog JS 程式碼。這尤其令人擔憂,因為原始漏洞的嚴重性——惡意程式碼被設計用來攔截敏感的錢包資訊,包括種子短語和恢復助記詞,這些資訊會傳送到攻擊者控制的伺服器 api.metrics-trustwallet.com。## 安全事件時間線Trust Wallet 的瀏覽器擴展版本 2.68.0 最初被發現含有能夠竊取關鍵錢包資料的有害腳本。儘管開發團隊隨後發布了 2.69.0 版本作為修復措施,但 Slow Mist 的報告顯示,在更新過程中,危險的程式碼元素並未完全消除。## 對用戶的影響在更新版本中仍然存在的 PostHog JS 表示一個未解決的威脅向量。已升級到 2.69.0 的用戶仍可能面臨資料收集和敏感憑證暴露的風險。Slow Mist 發出後續警告,顯示該修補措施未能徹底解決問題。此事件凸顯了保持警覺的安全實踐的重要性,以及在部署處理敏感加密資料的瀏覽器擴展前,進行徹底審查的必要性。
Trust Wallet 最新修補仍留安全漏洞,Slow Mist 警示揭露
來自 Slow Mist 的安全研究人員已發出關於 Trust Wallet 瀏覽器擴展的重大警示,警告即使在最新更新後,仍存在嚴重漏洞。根據 mist 的報告,版本 2.69.0 本應解決先前的安全問題,但仍然包含有問題的程式碼,威脅用戶資產的安全。
持續的風險:PostHog JS 仍然存在
調查顯示,儘管 Trust Wallet 嘗試修復問題,但修補版本中仍然嵌入了 PostHog JS 程式碼。這尤其令人擔憂,因為原始漏洞的嚴重性——惡意程式碼被設計用來攔截敏感的錢包資訊,包括種子短語和恢復助記詞,這些資訊會傳送到攻擊者控制的伺服器 api.metrics-trustwallet.com。
安全事件時間線
Trust Wallet 的瀏覽器擴展版本 2.68.0 最初被發現含有能夠竊取關鍵錢包資料的有害腳本。儘管開發團隊隨後發布了 2.69.0 版本作為修復措施,但 Slow Mist 的報告顯示,在更新過程中,危險的程式碼元素並未完全消除。
對用戶的影響
在更新版本中仍然存在的 PostHog JS 表示一個未解決的威脅向量。已升級到 2.69.0 的用戶仍可能面臨資料收集和敏感憑證暴露的風險。Slow Mist 發出後續警告,顯示該修補措施未能徹底解決問題。
此事件凸顯了保持警覺的安全實踐的重要性,以及在部署處理敏感加密資料的瀏覽器擴展前,進行徹底審查的必要性。