研究人員發(fā)現(xiàn)主流瀏覽器加密貨幣錢包存在重大安全漏洞，攻擊者無(wú)需用戶任何交互或授權(quán)即可竊取資金。

在Stellar Freighter、Frontier Wallet和Coin98等錢包中發(fā)現(xiàn)的這些關(guān)鍵漏洞，標(biāo)志著針對(duì)加密貨幣用戶的攻擊手段出現(xiàn)重大轉(zhuǎn)變。與傳統(tǒng)網(wǎng)絡(luò)釣魚(yú)攻擊需要用戶批準(zhǔn)惡意交易不同，這些漏洞僅需用戶訪問(wèn)惡意網(wǎng)站即可清空錢包資金。

"用戶只需訪問(wèn)惡意網(wǎng)站，其助記詞就會(huì)在后臺(tái)被竊取，攻擊者可隨時(shí)轉(zhuǎn)移資金。"發(fā)現(xiàn)漏洞的Coinspect研究人員解釋稱，"攻擊者可能等到錢包余額充足時(shí)再行動(dòng)，增加溯源難度。"

瀏覽器擴(kuò)展錢包漏洞暴露私鑰

這些漏洞源于瀏覽器錢包擴(kuò)展組件間消息傳遞機(jī)制的架構(gòu)缺陷。標(biāo)準(zhǔn)錢包架構(gòu)中，去中心化應(yīng)用(dApp)通過(guò)內(nèi)容腳本(Content Script)注入的Provider API與錢包交互，內(nèi)容腳本再與可訪問(wèn)私鑰的后臺(tái)腳本(Background Script)通信。

在Stellar官方錢包Freighter(CVE-2023-40580)中，研究人員發(fā)現(xiàn)其使用單一處理器處理UI和Provider API的通信。這種設(shè)計(jì)導(dǎo)致消息來(lái)源混淆，攻擊者可通過(guò)篡改內(nèi)容腳本的request.type參數(shù)，觸發(fā)本應(yīng)僅供錢包UI使用的內(nèi)部功能，從而獲取用戶助記詞。

Frontier Wallet存在類似漏洞，其Provider API暴露了可返回錢包狀態(tài)（含加密助記詞）的內(nèi)部方法。盡管使用獨(dú)立端口連接，攻擊者仍能在錢包鎖定時(shí)獲取這些信息。

Coin98 Wallet的漏洞則允許攻擊者向內(nèi)容腳本發(fā)送帶有isDev:true參數(shù)的偽造消息，使后臺(tái)腳本誤認(rèn)為指令來(lái)自合法錢包UI而非惡意網(wǎng)站。

嚴(yán)重安全影響

這些漏洞從多個(gè)維度突破了傳統(tǒng)安全模型：

• 預(yù)連接風(fēng)險(xiǎn)：惡意網(wǎng)站在用戶接受連接前即可與錢包交互
• 靜默攻擊：整個(gè)攻擊過(guò)程不會(huì)觸發(fā)用戶警報(bào)
• 直接密鑰訪問(wèn)：即使錢包鎖定仍可獲取助記詞
• 延遲利用：攻擊者可待錢包資金充足后再行動(dòng)

過(guò)去一年，網(wǎng)絡(luò)犯罪分子已利用類似"錢包清空"技術(shù)從63,000余名受害者處竊取約5,898萬(wàn)美元。

修復(fù)建議

受影響錢包已發(fā)布修復(fù)版本，用戶應(yīng)立即：

• 將Stellar Freighter升級(jí)至5.3.1或更高版本
• 確保Frontier Wallet更新至2024年11月22日后發(fā)布的版本
• 僅使用已更新的Coin98 Wallet版本

若懷疑錢包已遭入侵，安全專家建議立即將剩余代幣轉(zhuǎn)移至新創(chuàng)建的錢包，并停用可能泄露的錢包。隨著加密貨幣普及，安全研究人員警告其他瀏覽器錢包（特別是基于未經(jīng)驗(yàn)證代碼庫(kù)開(kāi)發(fā)的產(chǎn)品）可能存在類似漏洞。鑒于此類隱蔽攻擊手段日益盛行，用戶應(yīng)保持警惕，優(yōu)先選擇具備成熟安全實(shí)踐的錢包產(chǎn)品。