#钱包被盗和资金损失 Analisámos os dados on-chain do incidente Trust Wallet, e há alguns detalhes que merecem atenção. Do ponto de vista temporal, o atacante começou a investigar em 8 de dezembro, implantou a backdoor com sucesso em 22 de dezembro, e só no dia 25, no Natal, transferiu fundos em grande escala — isso indica que o hacker escolheu cuidadosamente a janela de tempo, pois durante feriados a resposta manual costuma ser mais lenta. Até agora, cerca de 7 milhões de dólares foram roubados, envolvendo várias carteiras.

Mais importante ainda é a essência da vulnerabilidade: o código-fonte oficial foi atacado, levando à adulteração da versão da extensão do navegador. Isso significa que a versão aparentemente legítima que os usuários baixaram já estava contaminada, e a cadeia de confiança foi quebrada diretamente. Do ponto de vista de defesa, isso serve como um alerta para todas as aplicações de carteiras — a auditoria de código e o isolamento seguro do processo de publicação precisam ser reavaliados.

A boa notícia é que o processo de compensação já foi iniciado, sendo necessário fornecer o endereço roubado, o endereço de recebimento do atacante e o hash da transação, entre outras informações. A equipe oficial compromete-se a cobrir integralmente as perdas. Para os vítimas que ainda não enviaram suas informações, o que devem fazer agora é coletar esses dados cuidadosamente e solicitar a indenização através dos canais de suporte oficiais, não confiando em qualquer promessa de compensação que não seja oficial.

Esse tipo de incidente nos lembra: aplicações populares tendem a ser alvos mais fáceis de ataques, portanto, verificar regularmente o número da versão da extensão e validar a origem da instalação ainda são ações necessárias.