浏览器加密钱包高危漏洞可致资金遭窃

研究人员发现主流浏览器加密货币钱包存在重大安全漏洞，浏览攻击者无需用户任何交互或授权即可窃取资金。器加窃

在Stellar Freighter 、密钱Frontier Wallet和Coin98等钱包中发现的包高这些关键漏洞，标志着针对加密货币用户的危漏攻击手段出现重大转变。与传统网络钓鱼攻击需要用户批准恶意交易不同 ，致资这些漏洞仅需用户访问恶意网站即可清空钱包资金 。金遭

"用户只需访问恶意网站，浏览其助记词就会在后台被窃取 ，免费模板器加窃攻击者可随时转移资金。密钱"发现漏洞的包高Coinspect研究人员解释称  ，"攻击者可能等到钱包余额充足时再行动，危漏增加溯源难度。致资"

浏览器扩展钱包漏洞暴露私钥

这些漏洞源于浏览器钱包扩展组件间消息传递机制的金遭架构缺陷 。标准钱包架构中 ，浏览去中心化应用(dApp)通过内容脚本(Content Script)注入的Provider API与钱包交互 ，模板下载内容脚本再与可访问私钥的后台脚本(Background Script)通信。

在Stellar官方钱包Freighter(CVE-2023-40580)中，研究人员发现其使用单一处理器处理UI和Provider API的通信。这种设计导致消息来源混淆
，攻击者可通过篡改内容脚本的request.type参数，触发本应仅供钱包UI使用的内部功能，服务器租用从而获取用户助记词 。

Frontier Wallet存在类似漏洞，其Provider API暴露了可返回钱包状态（含加密助记词）的内部方法 。尽管使用独立端口连接 ，攻击者仍能在钱包锁定时获取这些信息
。

Coin98 Wallet的漏洞则允许攻击者向内容脚本发送带有isDev:true参数的伪造消息 ，使后台脚本误认为指令来自合法钱包UI而非恶意网站 。亿华云

严重安全影响

这些漏洞从多个维度突破了传统安全模型：

预连接风险：恶意网站在用户接受连接前即可与钱包交互静默攻击
：整个攻击过程不会触发用户警报直接密钥访问：即使钱包锁定仍可获取助记词延迟利用：攻击者可待钱包资金充足后再行动

过去一年，网络犯罪分子已利用类似"钱包清空"技术从63,000余名受害者处窃取约5,898万美元
 。

修复建议

受影响钱包已发布修复版本，用户应立即：

将Stellar Freighter升级至5.3.1或更高版本确保Frontier Wallet更新至2024年11月22日后发布的版本仅使用已更新的Coin98 Wallet版本

若怀疑钱包已遭入侵 ，安全专家建议立即将剩余代币转移至新创建的钱包，并停用可能泄露的钱包 。源码库随着加密货币普及 ，安全研究人员警告其他浏览器钱包（特别是基于未经验证代码库开发的产品）可能存在类似漏洞  。鉴于此类隐蔽攻击手段日益盛行，用户应保持警惕，优先选择具备成熟安全实践的钱包产品 。