谷歌已經開始大規模推出一項新的Chrome安全功能，將登錄會話與設備硬件綁定，對於持有加密錢包的任何人來說，這一變化十分重要。

要點：

• 谷歌發佈了設備綁定會話憑證，將瀏覽器會話cookie鎖定到計算機的安全芯片上。

• 這種保護措施能夠阻止一種常見攻擊，防止竊賊通過竊取cookie來繞過雙因素（2FA）登錄。

• 加密用戶面臨額外風險，因爲信息竊取惡意軟件常常瞄準錢包和交易所會話。

Chrome 現在如何保護登錄 Cookie

本週的報告詳細介紹了設備綁定會話憑證（DBSC）的廣泛發布，經過幾個月的測試，適用於 Chromium 瀏覽器。

這個工具現在能夠接觸到大多數用戶，從工作區和企業帳戶到個人帳戶。它將每次登錄綁定到一個從不離開設備的加密密鑰。

會話 Cookie 就像在票務場館的腕帶，讓網站記住登錄而不必在每次訪問時要求密碼或雙重身份驗證碼。

竊賊們非常重視這些文件，因為被盜的 Cookie 可以完全繞過第二層防護，這些令牌通常在暗網市場上出售。DBSC 將密鑰存儲在 Windows 受信任的平台模塊或 Mac 的安全隱 enclaves 中，然後強迫瀏覽器在任何 Cookie 刷新之前證明擁有權。

結果是一個在其他機器上變得無用的 Cookie。

還有：Kalshi 獲得 CFTC 批准，推出美國首個比特幣永久期貨。

為什麼加密交易者應該關心

對於加密用戶來說，被劫持的會話可能意味著資金被抽走，而不是電子郵件被黑客入侵。竊取信息的惡意軟件現在在一次掃描中收集瀏覽器 Cookie、保存的密碼和錢包文件，然後將其發送到遠程伺服器。

一項分析發現，帳戶憑證盜竊在去年追蹤的入侵事件中佔約三分之一，這顯示出這種策略已變得多麼常見。

這個交易也變得產業化，研究人員標記了一個名為 Storm 的訂閱竊取者，租金不到每月 1,000 美元，並通過瀏覽器擴展和桌面應用程序針對錢包。

其他變種監控與 Binance、Coinbase、MetaMask 和 Trust Wallet 綁定的會話，然後提取 Cookie 以在不輸入密碼的情況下進入帳戶。

DBSC 到用戶的漫長之路

Google 首次在 2024 年揭示 DBSC，然後將其移至公共測試版，並在 Chrome 146 及以後的版本上進行一般發布，版本 148 及以後則涵蓋 Mac。

該公司為工作區帳戶默認啟用此功能，管理員無法關閉。對於那些整天打開交易所標籤和錢包擴展的交易者來說，這次更新靜靜地關閉了他們資金的一條最簡單路徑。

接下來閱讀：狗狗幣儲備上升至 28B，鯨魚支持仍然薄弱。