导语

新年伊始，加密世界再响安全警报。据区块链侦探ZachXBT披露，一场针对以太坊虚拟机（EVM）兼容链上钱包的大规模攻击正在悄然进行，已有“数百个”加密钱包资产被悄无声息地“抽干”。此次事件手法隐蔽，波及范围广，且与去年圣诞节期间造成700万美元损失的Trust Wallet黑客事件存在潜在关联，再次为所有加密资产持有者敲响了安全警钟。

核心攻击模式：广撒网、小额盗取

与以往针对单一目标进行高额盗取的黑客事件不同，此次攻击呈现出新的特征。据ZachXBT分析，攻击者采取了“广撒网”策略，从每个受害钱包中仅盗取不足2000美元的小额资产。这种“积少成多”的模式，使得攻击更隐蔽，不易被单个用户立即察觉。

网络安全提供商Hackless指出：“这看起来像是自动化的、大范围的漏洞利用。”攻击活动影响了多个EVM兼容网络，表明这是一个广泛存在的事件，而非局限于某一条区块链。

市场背景与潜在攻击向量分析

此次大规模钱包盗取事件，很可能与去年底震惊业界的Trust Wallet黑客事件一脉相承。2023年12月25日，Trust Wallet浏览器扩展程序遭攻击，导致约2596个钱包受损，损失总额高达700万美元。

根据Trust Wallet的事故报告，根源可能追溯到2023年11月的“Sha1-Hulud”供应链攻击。该攻击破坏了加密货币项目常用的npm软件包。随后，攻击者从Trust Wallet的GitHub泄露了开发者的“密钥”，从而获得了钱包浏览器扩展的源代码，并最终在Chrome网上应用店上传了伪装成合法扩展的恶意版本。

值得注意的是，网络安全研究员Vladimir S. 指出，本次事件中，伪装成Web3钱包MetaMask官方邮件的欺诈邮件，可能是攻击的载体之一。这提醒用户，对任何索要私钥或助记词的“官方”通信都必须保持高度警惕。

对于Trust Wallet事件的性质，业内存在不同看法。跨政府区块链顾问Anndy Lian认为：“这种‘黑客攻击’并不自然。内部人员的可能性很高。”币安联合创始人兼前CEO赵长鹏（CZ）也同意，该事件可能是由对Trust Wallet源代码有深入了解的内部人员所致。币安是Trust Wallet的所有者。不过，币安已同意对用户的损失进行赔偿。

安全建议与未来预测

面对不断演化的网络安全威胁，加密资产持有者必须主动采取防护措施。Hackless建议用户立即撤销不必要的智能合约授权，并持续监控自己的钱包活动。

尽管据PeckShield报告，2023年12月因加密黑客造成的损失同比下降了60%，显示出行业安全防护的进步，但本次事件表明，攻击者的策略正变得更加精细和隐蔽。展望未来，供应链攻击和社交工程（如钓鱼邮件）结合的手段，或将成为黑客的新常态。投资者应关注钱包开发团队的安全审计记录，并对任何浏览器扩展更新保持审慎态度。行业在追求功能创新的同时，必须将安全置于产品开发的核心位置，才能构建更值得信赖的加密生态。