Giao dịch
Loại giao dịch
Giao ngay
Giao dịch tiền điện tử một cách tự do
Trước giờ mở cửa
Giao dịch các token mới trước khi chúng được niêm yết chính thức
Giao dịch ký quỹ
Tăng lợi nhuận của bạn với đòn bẩy
Giao dịch khối & Chuyển đổi
0 Fees
Giao dịch bất kể khối lượng, không mất phí, không trượt giá
Alpha
Point
Nhận các token đầy hứa hẹn trong giao dịch trên chuỗi được tối ưu hóa
Token đòn bẩy
Sản phẩm ETF có thuộc tính đòn bẩy, giao dịch giao ngay, không cần vay, không cháy tải khoản
Futures
Futures
Hàng trăm hợp đồng được thanh toán bằng USDT hoặc BTC
Quyền chọn
HOT
Giao dịch với các quyền chọn kiểu Châu Âu
Tài khoản hợp nhất
Tối đa hóa hiệu quả sử dụng vốn của bạn
Giao dịch demo
Bắt đầu với Hợp đồng
Nắm vững kỹ năng giao dịch hợp đồng từ đầu
Sự kiện tương lai
Tham gia các sự kiện để giành được những phần thưởng hậu hĩnh
Giao dịch demo
Sử dụng tiền ảo để trải nghiệm giao dịch không rủi ro
Kiếm tiền
Launch
CandyDrop
Sưu tập kẹo để kiếm airdrop
Launchpool
Thế chấp nhanh, kiếm token mới tiềm năng
HODLer Airdrop
Nắm giữ GT và nhận được airdrop lớn miễn phí
Launchpad
Đăng ký sớm dự án token lớn tiếp theo
Điểm Alpha
NEW
Giao dịch tài sản on-chain và tận hưởng phần thưởng airdrop!
Điểm Futures
NEW
Kiếm điểm futures và nhận phần thưởng airdrop
Đầu tư
Simple Earn
Kiếm lãi từ các token nhàn rỗi
Đầu tư tự động
Đầu tư tự động một cách thường xuyên.
Sản phẩm tiền kép
Mua thấp và bán cao để kiếm lợi nhuận từ biến động giá
Soft Staking
Kiếm phần thưởng với staking linh hoạt
Vay Crypto
0 Fees
Thế chấp một loại tiền điện tử để vay một loại khác
Trung tâm cho vay
Trung tâm cho vay một cửa
Trung tâm tài sản VIP
Quản lý tài sản tùy chỉnh giúp tăng trưởng tài sản của bạn
Quản lý tài sản cá nhân
Quản lý tài sản tùy chỉnh giúp tăng trưởng tài sản kỹ thuật số của bạn
Quỹ định lượng
Đội ngũ quản lý tài sản hàng đầu giúp bạn kiếm lợi nhuận mà không cần lo lắng
Staking
Stake tiền điện tử để kiếm tiền từ các sản phẩm PoS
BTC Staking
HOT
Stake BTC và kiếm APR 10%
Đúc GUSD
Sử dụng USDT/USDC để đúc GUSD với lợi suất tương đương kho bạc
Thêm
Khuyến mãi
Trung tâm hoạt động
Tham gia các hoạt động và giành nhiều giải thưởng tiền mặt lớn cùng nhiều quà tặng độc quyền
Giới thiệu
20 USDT
Kiếm 40% hoa hồng hoặc phần thưởng lên đến 500 USDT
Thông báo
Thông báo về niêm yết mới, hoạt động, nâng cấp, v.v.
Gate Blog
Các Bài Báo Về Tiền Điện Tử
Dịch vụ VIP
Chiết khấu phí lớn
Bằng chứng dự trữ
Gate cam kết 100% bằng chứng dự trữ
Đại lý
Tận hưởng hoa hồng độc quyền và kiếm được lợi nhuận cao
Quản lý tài sản
NEW
Giải pháp quản lý tài sản toàn diện
Tổ chức
NEW
Giải pháp tài sản kỹ thuật số chuyên nghiệp cho các tổ chức
Chuyển khoản ngân hàng OTC
Nạp và rút tiền pháp định
Chương trình Môi giới
Cơ chế hoàn tiền API hào phóng
Gate Vault
Giữ tài sản của bạn an toàn
Lỗ hổng bảo mật Trust Wallet: Cách bảo vệ tài sản của bạn
3giờ trước
Phân tích Ví Hacker của Trust Wallet: Giữ hơn $4 triệu với 1,5 triệu đô la ETH và 1,4 triệu đô la BTC
3giờ trước
Chủ đề thịnh hành
Xem thêm98.83K Phổ biến
18 Phổ biến
50.91K Phổ biến
27.34K Phổ biến
9.83K Phổ biến
Gate Fun hot
Xem thêm- Vốn hóa:$3.5KNgười nắm giữ:10.00%
- Vốn hóa:$3.49KNgười nắm giữ:10.00%
- Vốn hóa:$3.52KNgười nắm giữ:10.00%
- Vốn hóa:$3.51KNgười nắm giữ:10.00%
- Vốn hóa:$3.53KNgười nắm giữ:20.00%
Ghim
Giải thích về vụ hack TrustWallet: Từ cập nhật đến việc rút tiền ví trị giá $16M trong $TWT, BTC, ETH
Chuyện Chính Xác Xảy Ra Trong Vụ Việc Trust Wallet
Bước 1: Phiên Bản Mới Của Tiện Ích Mở Rộng Trình Duyệt Được Phát Hành
Một bản cập nhật mới cho tiện ích mở rộng Trust Wallet đã được phát hành vào ngày 24 tháng 12.
Bản cập nhật có vẻ như là thủ tục thông thường.
Không có cảnh báo bảo mật lớn nào đi kèm.
Người dùng cài đặt qua quy trình cập nhật thông thường.
Lúc này, không có gì đáng ngờ.
Bước 2: Mã Mới Được Thêm Vào Tiện Ích
Sau khi cập nhật, các nhà nghiên cứu kiểm tra các tệp của tiện ích nhận thấy có sự thay đổi trong một tệp JavaScript gọi là 4482.js.
Quan sát chính:
Mã mới không có trong các phiên bản trước.
Nó giới thiệu các yêu cầu mạng liên quan đến hành động của người dùng.
Điều này quan trọng vì ví trình duyệt rất nhạy cảm; bất kỳ logic gửi đi nào mới đều có nguy cơ cao.
Bước 3: Mã Giả Danh Như “Phân Tích Dữ Liệu”
Logic bổ sung xuất hiện như mã phân tích hoặc telemetry.
Cụ thể:
Trông giống như logic theo dõi của các SDK phân tích phổ biến.
Không kích hoạt liên tục.
Chỉ hoạt động trong một số điều kiện nhất định.
Thiết kế này khiến việc phát hiện dễ dàng hơn trong quá trình kiểm thử thông thường.
Bước 4: Điều Kiện Kích Hoạt — Nhập Seed Phrase
Phân tích ngược cộng đồng cho thấy logic này được kích hoạt khi người dùng nhập seed phrase vào tiện ích.
Tại sao điều này quan trọng:
Nhập seed phrase cho phép ví kiểm soát hoàn toàn.
Đây là một khoảnh khắc có giá trị cao, chỉ diễn ra một lần.
Mã độc chỉ cần hành động một lần là đủ.
Người dùng chỉ sử dụng ví đã có thể không kích hoạt được đường dẫn này.
Bước 5: Dữ Liệu Ví Bị Gửi Ra Ngoài
Khi điều kiện kích hoạt xảy ra, mã được cho là đã gửi dữ liệu đến một điểm cuối bên ngoài:
metrics-trustwallet[.]com
Điều gây chú ý:
Tên miền trông giống như một tên miền phụ hợp lệ của Trust Wallet.
Được đăng ký chỉ vài ngày trước đó.
Không có tài liệu công khai.
Sau đó đã ngừng hoạt động.
Ít nhất, điều này xác nhận có sự giao tiếp không mong muốn từ tiện ích ví.
Bước 6: Kẻ Tấn Công Hành Động Ngay Lập Tức
Ngay sau khi nhập seed phrase, người dùng báo cáo:
Ví bị rút sạch trong vòng vài phút.
Nhiều tài sản bị chuyển nhanh chóng.
Không cần thêm tương tác của người dùng.
Hành vi trên chuỗi cho thấy:
Các mẫu giao dịch tự động.
Nhiều địa chỉ đích.
Không có quy trình phê duyệt lừa đảo rõ ràng.
Điều này cho thấy kẻ tấn công đã có đủ quyền truy cập để ký các giao dịch.
Bước 7: Quỹ Được Tập Trung Qua Các Địa Chỉ
Các tài sản bị đánh cắp được chuyển qua nhiều ví do kẻ tấn công kiểm soát.
Tại sao điều này quan trọng:
Gợi ý có sự phối hợp hoặc kịch bản tự động.
Giảm phụ thuộc vào một địa chỉ duy nhất.
Phù hợp với hành vi của các vụ khai thác có tổ chức.
Ước tính dựa trên các địa chỉ theo dõi cho thấy hàng triệu đô la đã bị chuyển, mặc dù tổng số có thể khác nhau.
Bước 8: Tên Miền Biến Mất Tín Hiệu
Sau khi sự chú ý tăng lên:
Tên miền đáng ngờ ngừng phản hồi.
Không có lời giải thích công khai ngay lập tức.
Các ảnh chụp màn hình và bằng chứng đã lưu trữ trở nên quan trọng.
Điều này phù hợp với giả thuyết rằng kẻ tấn công đã phá hủy hạ tầng khi bị phát hiện.
Bước 9: Thông Báo Chính Thức Sau Đó
Trust Wallet sau đó xác nhận:
Một sự cố bảo mật ảnh hưởng đến một phiên bản cụ thể của tiện ích trình duyệt.
Người dùng di động không bị ảnh hưởng.
Người dùng nên nâng cấp hoặc vô hiệu hóa tiện ích.
Tuy nhiên, không có phân tích kỹ thuật đầy đủ ngay lập tức để giải thích:
Tại sao tên miền tồn tại.
Liệu seed phrase có bị lộ không.
Đây có phải là vấn đề nội bộ, của bên thứ ba hay bên ngoài.
Khoảng trống này thúc đẩy các giả thuyết liên tục.
Những Điều Được Xác Nhận
Một bản cập nhật tiện ích mở rộng trình duyệt đã giới thiệu hành vi gửi đi mới.
Người dùng mất tiền ngay sau khi nhập seed phrase.
Sự cố chỉ giới hạn trong một phiên bản cụ thể.
Trust Wallet thừa nhận có vấn đề bảo mật.
Những Điều Được Cho Là Rất Nghi Ngờ
Vấn đề chuỗi cung ứng hoặc tiêm mã độc.
Seed phrase hoặc khả năng ký bị lộ.
Logic phân tích dữ liệu bị lạm dụng hoặc biến thành vũ khí.
Những Điều Vẫn Chưa Rõ
Liệu mã có cố ý độc hại hay bị xâm phạm từ upstream.
Có bao nhiêu người dùng bị ảnh hưởng.
Có dữ liệu nào khác bị lấy đi không.
Xác định chính xác thủ phạm.
Tại Sao Vụ Việc Này Quan Trọng
Đây không phải là lừa đảo phishing điển hình.
Nó làm nổi bật:
Mối nguy hiểm của tiện ích mở rộng trình duyệt.
Rủi ro của việc tin tưởng mù quáng vào các bản cập nhật.
Cách mã phân tích dữ liệu có thể bị lạm dụng.
Tại sao xử lý seed phrase là khoảnh khắc quan trọng nhất trong bảo mật ví.
Ngay cả một lỗ hổng ngắn hạn cũng có thể gây hậu quả nghiêm trọng.