查找币安全团队：Trust Wallet浏览器扩展2.68版本安全漏洞分析与应对

查找币:余老师 | 行业资讯 | 2025-12-28 01:00 | 8 次浏览 | 0 条回复

查找币行业资讯行业资讯 Web3安全区块链

从加密安全的角度来看，Trust Wallet浏览器扩展2.68版本的安全漏洞事件是一个典型的、因底层随机数生成器缺陷导致的系统性安全失败。这次事件并非个案，而是揭示了钱包开发中一个长期被低估的核心风险：伪随机数生成（PRNG）的脆弱性。慢雾在2023年4月的分析指出，问题的根源在于Trust Wallet使用了MT19937算法。这是一个在学术界和密码学界早已被明确认为不适合用于加密安全场景的伪随机数生成器。其输出在一定数量后可被预测，这意味着在2022年11月14日至23日这个特定时间窗口内，通过该扩展创建的所有钱包，其私钥在理论上都存在被暴力破解的可能。这不是用户交互导致的钓鱼攻击，而是一个协议层面的根本性缺陷，用户无论多么谨慎都无法避免。与过去发生的谷歌恶意扩展程序Shitcoin Wallet窃取私钥的事件有本质区别。Trust Wallet的问题是无意的工程失误，但后果同样严重，再次印证了“区块链黑暗森林”法则：私钥生成环节存在弱点，资产将瞬间崩塌。这种问题并非首次出现，比如之前12万枚BTC失窃的案例也涉及“随机数缺陷”。这表明整个行业在如何安全生成随机数这一关键问题上，仍存在认知和实践差距。项目在追求新功能和用户体验时，可能忽视了最底层的、也是最致命的安全基础。 Trust Wallet启动赔偿是一个负责任的举措，这值得肯定。但流程要求用户提供“攻击者的收款地址”等细节，表明他们可能试图在链上追踪黑客，并分析攻击模式。这起事件对所有钱包服务商都是一个严厉的警示：必须采用密码学安全的随机数生成器（CSPRNG），如系统级的`/dev/urandom`或经过严格审计的加密库；并且，任何核心安全组件的变更都必须经过最严格的安全审计和漏洞赏金测试。这个案例深刻地提醒我们，在加密世界中，真正的安全始于代码的最深处，始于每一个比特的随机性。用户将资产托付给钱包，钱包开发者就必须以最高的敬畏之心来对待这份信任。 --- 本文由查找币安全团队整理发布

查找币安全团队：Trust Wallet浏览器扩展2.68版本安全漏洞分析与应对

查找币 - 专业Web3安全服务