全球第二大加密货币以太坊(Ethereum)生态圈掀起轩然大波,安全研究人员警告称,一款在以太坊钱包中广泛使用的基础库存在一个极其严重的“私钥泄露”漏洞,该漏洞一旦被恶意利用,攻击者可以像“开锁”一样,悄无声息地盗走钱包中的一切资产,而用户可能毫无察觉,这一发现不仅让广大以太坊用户感到震惊,也为整个加密货币行业的安全敲响了警钟。
漏洞的核心:一个被忽视的“后门”
这个漏洞的根源并非来自某个知名的钱包应用本身,而是隐藏在一个名为“EIP-712”(以太坊改进提案-712)签名标准的基础库中,EIP-712是一种旨在让链下签名数据更易于人类阅读和验证的技术,许多主流钱包,包括MetaMask、Trust Wallet等,都依赖它来处理复杂的交易签名。
研究人员发现,该标准在实现上存在一个致命缺陷,在某些特定的、非标准的调用场景下,钱包生成的签名数据可以被恶意网站或应用“劫持”,攻击者可以构造一个看似无害的交易请求,诱骗用户进行签名,一旦用户点击“确认”,他们以为只是在授权一笔小额转账或交互某个DApp(去中心化应用),但实际上,签名中可能包含了授权攻击者完全控制其钱包的“私钥种子”。
更可怕的是,这种攻击过程对用户来说是完全透明的,用户看到的界面一切正常,点击确认后,交易也看似成功了,但与此同时,攻击者已经获得了他们钱包的“万能钥匙”,可以随时将钱包里的所有ETH和代币转走,用户的资产将在几秒钟内被清空,而受害者甚至可能不知道自己是如何被盗的。
影响范围有多广?
由于EIP-712是一个基础性标准,其影响范围堪称“史诗级”,几乎所有在浏览器或移动设备上运行、并使用了该库进行签名的以太坊钱包都可能受到影响,这意味着:
- 浏览器钱包用户:如MetaMask、Brave Wallet等,在访问恶意网站时风险极高。
- 移动钱包用户:部分集成该标准的移动端App也无法幸免。
- DApp开发者:如果其应用前端存在安全漏洞,也可能成为攻击者利用的跳板。
虽然并非所有钱包都受到了同等程度的波及,但“广泛性”和“严重性”是这个漏洞最显著的两个标签,它暴露了在快速发展的Web3和DeFi领域,底层基础设施安全的重要性。
