波宝钱包下载安卓版|Trust Wallet遭爆「私钥漏洞」已被骇17万镁！官方 : 将赔偿受害者

被币安在 2018 年收购的多链自托管加密资产钱包 Trust Wallet 今日披露，Trust Wallet 开源库因存在 WASM 漏洞，导致在去年 11 月 14 日至 23 日期间透过钱包浏览器扩充功能生成的新钱包地址，存在被盗风险，估计损失约有 17 万美元，但 Trust Wallet 承诺将赔偿用户损失。 （前情提要：分布式资本沈波：4,200万镁的Trust Wallet钱包被盗；疑私钥外洩） （背景补充：CZ加持！Trust Wallet推浏览器扩充暴涨83%，突破2.7镁、创历史新高）

曾获得币安创办人赵长鹏（CZ）亲自加持的 Trust Wallet 在今日发布公告披露，在去年 11 月，有一名安全研究人员藉由漏洞赏金计划，报告 Trust Wallet 开源库 Wallet Core 中存在 WebAssembly（WASM）漏洞。

1/10 Trust Wallet is built on security & trust. So we're sharing a vulnerability affecting new addresses created Nov 14-23,22 using the Browser Extension.

The issue is fixed. Most at-risk funds are secured. Affected users should take actions outlined:➡️https://t.co/X9AEfqWW87

— Trust Wallet (@TrustWallet) April 22, 2023

该公告提到， Trust Wallet 浏览器扩充功能在 Wallet Core 中使用 WASM，在去年 11 月 14 日至 23 日期间，透过浏览器扩充功能生成的新钱包地址存在此漏洞，不过 Trust Wallet 已迅速修复漏洞，在这些日期之后生成的地址都是安全的。

然而，Trust Wallet 仍发现两个潜在漏洞，导致在攻击发生时，造成约 17 万美元损失。

对此，Trust Wallet 承诺，将补偿因漏洞造成的骇客攻击损失，为受害用户建立补偿程序，该公告还呼吁受影响用户尽快转移所有易受攻击地址上剩余的约 8.8 万美元资金。

如何检查是否受漏洞影响？

该公告提到，在以下情况下，用户的钱包地址不会受此漏洞影响：

• 只使用 Trust Wallet 手机 app
• 只将钱包地址汇入浏览器扩充功能
• 只是在 2022 年 11 月 14 日之前、或 2022 年 11 月 23 日之后使用浏览器扩充功能建立新钱包的用户

如果用户的钱包为易受攻击地址，用户将在浏览器扩充功能上看到警示通知，建议应创建一个新钱包地址、移动资产，停止使用易受攻击地址，请避免使用不是用户自己所创建的钱包地址，以免被骗子利用。

另外，需注意的是，在 2022 年 12 月下旬和 2023 年 3 月下旬发现钱包存在异常资金流动的用户，可能是遭受上述提及的两个潜在漏洞攻击的少数受害者之一，Trust Wallet 将向每个受害者偿还资金，该团队有所有受影响钱包的确切清单。

慢雾：漏洞致钱包私钥有被破解风险

慢雾创办人余弦发推提醒，如果用了 Trust Wallet 浏览器扩充功能，且在 2022 年 11 月 14 日至 23 日期间创建钱包，那么该钱包就存在风险，本质原因是当时 Trust Wallet 浏览器扩充功能使用的 MT19937 伪随机数生成器，没有提供足够的随机性，导致私钥可以被破解，目前 Trust Wallet 已披露该风险，所幸损失小。