區塊鏈安全平台 GoPlus 於 4 月 10 日發布緊急警報，指廣泛應用於 Android 推播通知的 EngageLab SDK 存在嚴重安全漏洞，波及逾 5,000 萬 Android 用戶，其中約 3,000 萬為加密貨幣錢包用戶。攻擊者可在受害裝置上部署偽裝成合法應用的惡意程式，竊取加密錢包私鑰與登入憑證。

漏洞技術原理：靜默執行的跨應用攻擊鏈

（來源：GoPlus）

此次漏洞的核心缺陷在於 EngageLab SDK 對 Android 系統 Intent 通訊機制的處理未進行充分來源驗證。Intent 是 Android 應用間傳遞指令的合法機制，但 EngageLab SDK 的實現允許未授權來源的指令繞過正常驗證流程，觸發目標應用執行敏感操作。

完整攻擊鏈三步驟

惡意應用植入：攻擊者將惡意程式偽裝成合法 App，誘使受害者安裝於同一 Android 裝置

惡意 Intent 注入：惡意 App 向同裝置上已整合 EngageLab SDK 的加密錢包或金融應用，發送精心構造的惡意 Intent

越權操作執行：目標應用收到 Intent 後，在用戶不知情的情況下執行未授權操作，包括竊取錢包私鑰、登入憑證及其他敏感數據

此攻擊鏈的最大危險性在於其靜默性：受害者無需主動操作，只要裝置上同時存在惡意應用與含漏洞版本的 EngageLab SDK 應用，攻擊即可在背景完成。

影響規模：加密用戶面臨不可逆資產損失風險

EngageLab SDK 作為廣泛部署的推播通知基礎元件，被整合進數千款 Android 應用，使此次漏洞的波及範圍達到 5,000 萬裝置的規模，其中加密貨幣錢包用戶約 3,000 萬。

加密錢包私鑰一旦外洩，攻擊者即可完全掌控受害者的鏈上資產，且區塊鏈交易的不可逆特性意味著此類損失幾乎無法追回，風險程度遠超一般應用資料外洩事件。

緊急應對措施：開發者與用戶的即時行動清單

分群安全建議

應用程式開發者與廠商

· 立即核查產品是否整合 EngageLab SDK，確認當前版本是否低於 4.5.5

· 升級至 EngageLab SDK 4.5.5 或以上官方修復版本（請參閱 EngageLab 官方文件）

· 重新發布更新後版本，並通知用戶盡快完成更新

一般 Android 用戶

· 立即前往 Google Play 更新所有應用，優先處理加密錢包與金融類 App

· 對來源不明或非官方渠道下載的 App 保持警覺，必要時立即刪除

· 若懷疑私鑰已外洩，應立即在安全裝置上建立新錢包，轉移資產並永久停用舊地址

常見問題

EngageLab SDK 是什麼，為何被廣泛整合於加密錢包？

EngageLab SDK 是提供 Android 推播通知功能的第三方軟體套件，因部署便利被大量應用採用。推播通知幾乎是所有移動應用的標配功能，這也使 EngageLab SDK 在加密錢包及金融應用中廣泛存在，進而導致此次漏洞的波及規模達到 5,000 萬用戶。

如何確認自己的裝置是否受此漏洞影響？

若您的 Android 裝置安裝了加密錢包或金融應用，且尚未更新至最新版本，則存在受影響風險。建議立即在 Google Play 商店更新所有應用。開發者可透過核查應用內的 SDK 版本號，確認是否使用了低於 4.5.5 版本的 EngageLab SDK。

私鑰若已外洩，應如何緊急處置？

應立即在未受感染的安全裝置上建立全新錢包地址，將原錢包所有資產轉移至新地址，並永久停用原有地址。同步更改所有相關平台的登入密碼，並為帳號啟用雙重驗證，以降低後續遭進一步入侵的風險。

免責聲明：本頁面資訊可能來自第三方，不代表 Gate 的觀點或意見。頁面顯示的內容僅供參考，不構成任何財務、投資或法律建議。Gate 對資訊的準確性、完整性不作保證，對因使用本資訊而產生的任何損失不承擔責任。虛擬資產投資屬高風險行為，價格波動劇烈，您可能損失全部投資本金。請充分了解相關風險，並根據自身財務狀況和風險承受能力謹慎決策。具體內容詳見聲明。

與 Avi Eisenberg 相關的地址顯示新的鏈上活動，引發安全疑慮

執法行動安全事件鏈上數據

Gate 新聞訊息，4月26日——區塊鏈分析平台 Arkham 已指出，一個被認為與 Avi Eisenberg 有關的地址出現了新的鏈上活動。Eisenberg 為 2022 年 Mango Markets 漏洞事件的攻擊者，並從中獲利約 $110 百萬美元。Eisenberg 先前被判刑後

GateNews1小時前

Sui 鏈 DeFi 借貸協議 Scallop 遭駭，舊版合約漏洞致 15 萬 SUI 被盜

專案進展安全事件

Scallop 在 Sui 鏈遭攻擊，側合約牽連 sSUI 獎勵池被利用，約 15 萬枚 SUI 被盜，核心合約安全，存款與提領已恢復。官方聲明僅限於已棄用的獎勵合約，使用者資金未受影響。前 NEAR 開發者 Vadim 指漏洞源自 17 個月前的舊版 V2 套件，未初始化 last_index 導致自 2023 年起累積獎勵；修復需在共用物件加入版本欄位並強化版本檢查，避免過時套件造成風險。

鏈新聞abmedia1小時前

Scallop 發現 sSUI 獎勵池漏洞，損失 15 萬 SUI 但承諾全額賠付

專案進展安全事件

Gate News 訊息，4 月 26 日——Scallop，Sui 生態系中的借貸協議，宣布發現其 sSUI 獎勵池相關的輔助合約存在漏洞，導致約 150,000 SUI 的損失。受影響的合約已被暫停，且 Scallop 確認

GateNews6小時前

因 MWEB 隱私層零日漏洞而遭遇深度鏈重組的萊特幣

每日新聞價格異動執法行動安全事件鏈上數據

Gate News 消息，4 月 26 日——據萊特幣基金會（Litecoin Foundation）稱，萊特幣在週六經歷了一次深度鏈重組 (4 月 26 日)；在攻擊者利用其 MimbleWimble Extension Block (MWEB) 隱私層中的零日漏洞後，鏈上發生重組。此次重組涵蓋了區塊 3,095,930 至 3,095,943，並

GateNews7小時前

Litecoin 首見隱私層遭駭：MWEB 零日漏洞觸發 13 區塊鏈重組

安全事件

根據 The Block，Litecoin 基金會證實 MWEB 隱私層遭遇零日漏洞，攻擊者利用舊版節點使偽造 MWEB 交易視為有效，造成主鏈回滾13區塊（約3小時），並對跨鏈交易所進行雙花；NEAR Intents 暴露約60萬美元，礦池亦遭 DoS。修補版已發布，請立即升級；主鏈餘額不受影響，但凸顯隱私層在降低可觀測性與偵測難度間的取捨。

鏈新聞abmedia9小時前

Aave、Kelp、LayerZero Seek $71M 凍結的 ETH 釋放來自 Arbitrum DAO

以太坊新聞專案進展合作與生態監管政策安全事件

Aave Labs、Kelp DAO、LayerZero、EtherFi 和 Compound 於週六上午在 Arbitrum 論壇提交了一項憲政 AIP，要求網路的 DAO 釋放約 $71 百萬美元的凍結 ETH，以支援 rsETH 的復原工作；此前上週發生了 $292 百萬美元 Kelp DAO 的漏洞利用。該提案

Crypto Frontier10小時前

留言

0/400

暫無留言