研究人員發現主流瀏覽器加密貨幣錢包存在重大安全漏洞，攻擊者無需用戶任何交互或授權即可竊取資金。

在Stellar Freighter、Frontier Wallet和Coin98等錢包中發現的這些關鍵漏洞，標志著針對加密貨幣用戶的攻擊手段出現重大轉變。與傳統網絡釣魚攻擊需要用戶批準惡意交易不同，這些漏洞僅需用戶訪問惡意網站即可清空錢包資金。

"用戶只需訪問惡意網站，其助記詞就會在后臺被竊取，攻擊者可隨時轉移資金。"發現漏洞的Coinspect研究人員解釋稱，"攻擊者可能等到錢包余額充足時再行動，增加溯源難度。"

瀏覽器擴展錢包漏洞暴露私鑰

這些漏洞源于瀏覽器錢包擴展組件間消息傳遞機制的架構缺陷。標準錢包架構中，去中心化應用(dApp)通過內容腳本(Content Script)注入的Provider API與錢包交互，內容腳本再與可訪問私鑰的后臺腳本(Background Script)通信。

在Stellar官方錢包Freighter(CVE-2023-40580)中，研究人員發現其使用單一處理器處理UI和Provider API的通信。這種設計導致消息來源混淆，攻擊者可通過篡改內容腳本的request.type參數，觸發本應僅供錢包UI使用的內部功能，從而獲取用戶助記詞。

Frontier Wallet存在類似漏洞，其Provider API暴露了可返回錢包狀態（含加密助記詞）的內部方法。盡管使用獨立端口連接，攻擊者仍能在錢包鎖定時獲取這些信息。

Coin98 Wallet的漏洞則允許攻擊者向內容腳本發送帶有isDev:true參數的偽造消息，使后臺腳本誤認為指令來自合法錢包UI而非惡意網站。

嚴重安全影響

這些漏洞從多個維度突破了傳統安全模型：

• 預連接風險：惡意網站在用戶接受連接前即可與錢包交互
• 靜默攻擊：整個攻擊過程不會觸發用戶警報
• 直接密鑰訪問：即使錢包鎖定仍可獲取助記詞
• 延遲利用：攻擊者可待錢包資金充足后再行動

過去一年，網絡犯罪分子已利用類似"錢包清空"技術從63,000余名受害者處竊取約5,898萬美元。

修復建議

受影響錢包已發布修復版本，用戶應立即：

• 將Stellar Freighter升級至5.3.1或更高版本
• 確保Frontier Wallet更新至2024年11月22日后發布的版本
• 僅使用已更新的Coin98 Wallet版本

若懷疑錢包已遭入侵，安全專家建議立即將剩余代幣轉移至新創建的錢包，并停用可能泄露的錢包。隨著加密貨幣普及，安全研究人員警告其他瀏覽器錢包（特別是基于未經驗證代碼庫開發的產品）可能存在類似漏洞。鑒于此類隱蔽攻擊手段日益盛行，用戶應保持警惕，優先選擇具備成熟安全實踐的錢包產品。