近日，多名区块链安全研究人员警示称，兼容以太坊虚拟机（EVM）的多条公链上出现大规模钱包被清空事件，受影响钱包数量被描述为“数百个”。

据链上调查员 ZachXBT 在社交平台发文称，此次攻击从每个受害者钱包中转出少量资金，每个钱包损失金额均低于 2,000 美元。他表示，从受影响范围看，涉及多个 EVM 兼容网络的钱包，并非集中在单一公链上，整体呈现“范围广但单个价值较低”的特征。具体攻击手法目前尚未被确认，相关调查仍在进行中。

网络安全研究员 Vladimir S. 引用一名匿名 X 用户提供的线索称，伪装成 Web3 钱包 MetaMask 官方通知的钓鱼邮件，可能是本次攻击的传播载体之一。他指出，这类邮件外观与合法通信相似，可能诱导用户执行恶意操作，从而导致钱包被盗。

网络安全服务提供商 Hackless 在社交平台上表示，这起事件“看起来像是自动化的广泛利用”，并提醒用户尽快检查并撤销不必要的智能合约授权，同时持续监控钱包活动，以降低潜在风险。

Vladimir S. 还援引另一位匿名 X 用户的信息称，本次大范围钱包被清空的攻击者，可能与去年圣诞节期间针对 Trust Wallet 的黑客事件存在关联。但目前尚无进一步技术细节公开证实这一说法。

多名安全人士指出，此次事件再次凸显加密资产持有者在使用钱包和相关在线服务时，采取基础安全措施的重要性，包括防范钓鱼邮件、谨慎管理授权以及保护敏感信息等，以应对不断变化的网络攻击手段。

去年圣诞节 Trust Wallet 遭黑客攻击 造成约 700 万美元损失

此前，去中心化钱包应用 Trust Wallet 在 12 月 25 日遭遇黑客攻击。根据 Trust Wallet 发布的事件说明，此次攻击共导致约 2,596 个钱包被攻破，损失金额约 700 万美元。

Trust Wallet 在事件报告中表示，该攻击很可能与 11 月发生的“Sha1-Hulud”供应链攻击有关。该供应链攻击针对 npm 软件包，而这类软件包被众多加密项目用于构建区块链应用程序。报告称，Trust Wallet 相关开发者的“秘密”信息从其 GitHub 仓库泄露，攻击者因此获得了钱包浏览器扩展的源代码访问权限。

在获取源代码后，黑客据称向 Chrome 网上应用店上传了一个恶意版本的 Trust Wallet 浏览器扩展，并伪装成合法扩展，诱导用户下载和使用。

政府间区块链顾问 Anndy Lian 当时表示，这类“黑客”行为“并非自然发生”，内部人员参与的可能性较高。币安联合创始人及前首席执行官赵长鹏（CZ）也认同这一观点，认为事件可能由对 Trust Wallet 源代码有深入了解的内部人士所为。Trust Wallet 为币安旗下产品。

Trust Wallet 此次遭攻击的主要目标为其谷歌 Chrome 浏览器扩展版本，移动端应用未受影响。币安方面表示，将对受影响用户的损失进行赔付。