#链上资产管理 Trust Wallet esta onda de ataque por porta traseira foi demasiado obscura — atacaram diretamente ao nível do código fonte, durante o período do Natal roubaram mais de 6 milhões de dólares. Depois de assistir à análise técnica do SlowMist, percebi que não se trata de uma simples contaminação na cadeia de fornecimento ou de um pacote npm malicioso, mas sim de uma operação de nível APT de verdade. Os atacantes já tinham acesso às permissões de desenvolvimento há algum tempo, inseriram uma lógica de roubo de frases-semente na versão 2.68, e ainda usaram o PostHog de forma astuta para esconder a fuga de dados.

Para ser honesto, essa situação traz uma lição bastante dura sobre gestão de ativos na blockchain — nem mesmo carteiras tradicionais podem impedir insiders mal-intencionados. Os colegas que usam estratégias de cópia de operações envolvendo múltiplas cadeias já estão revisando suas exposições ao risco. Uma abordagem mais segura é: guardar os ativos principais em uma carteira fria, usar uma carteira quente apenas para operações, e os fornecedores de carteiras devem fazer verificações periódicas de rotação. Se você tem contas de cópia que usam Trust Wallet para gestão de fundos, recomendo desconectar da internet agora para fazer uma verificação completa, exportar as chaves privadas para uma carteira segura, e não esperar.

Eventos como esse de cisne negro nos lembram que cada passo na operação na blockchain deve ter sua origem de risco rastreada até o fim. Não existe ferramenta absolutamente segura, apenas escolhas racionais após uma compreensão completa dos riscos.