GoPlus 紧急警报：EngageLab SDK 高危漏洞，3000 万加密钱包私钥恐泄露

区块链安全平台 GoPlus 于 4 月 10 日发布紧急警报，指广泛应用于 Android 推送通知的 EngageLab SDK 存在严重安全漏洞，波及逾 5,000 万 Android 用户，其中约 3,000 万为加密货币钱包用户。攻击者可在受害设备上部署伪装成合法应用的恶意程序，窃取加密钱包私钥与登录凭证。

漏洞技术原理：静默执行的跨应用攻击链

（来源：GoPlus）

此次漏洞的核心缺陷在于 EngageLab SDK 对 Android 系统 Intent 通讯机制的处理未进行充分来源验证。Intent 是 Android 应用间传递指令的合法机制，但 EngageLab SDK 的实现允许未授权来源的指令绕过正常验证流程，触发目标应用执行敏感操作。

完整攻击链三步骤

恶意应用植入：攻击者将恶意程序伪装成合法 App，诱使受害者在同一 Android 设备上安装

恶意 Intent 注入：恶意 App 向同一设备上已整合 EngageLab SDK 的加密钱包或金融应用，发送精心构造的恶意 Intent

越权操作执行：目标应用收到 Intent 后，在用户不知情的情况下执行未授权操作，包括窃取钱包私钥、登录凭证及其他敏感数据

此攻击链的最大危险性在于其静默性：受害者无需主动操作，只要设备上同时存在恶意应用与含漏洞版本的 EngageLab SDK 应用，攻击即可在后台完成。

影响规模：加密用户面临不可逆资产损失风险

EngageLab SDK 作为广泛部署的推送通知基础元件，被整合进数千款 Android 应用，使此次漏洞的波及范围达到 5,000 万设备规模，其中加密货币钱包用户约 3,000 万。

加密钱包私钥一旦泄露，攻击者即可完全掌控受害者的链上资产，且区块链交易的不可逆特性意味着此类损失几乎无法追回，风险程度远超一般应用数据泄露事件。

紧急应对措施：开发者与用户的即时行动清单

分群安全建议

1. 应用程序开发者与厂商

· 立即核查产品是否整合 EngageLab SDK，确认当前版本是否低于 4.5.5

· 升级至 EngageLab SDK 4.5.5 或以上官方修复版本（请参阅 EngageLab 官方文件）

· 重新发布更新后的版本，并通知用户尽快完成更新

2. 一般 Android 用户

· 立即前往 Google Play 更新所有应用，优先处理加密钱包与金融类 App

· 对来源不明或非官方渠道下载的 App 保持警惕，必要时立即删除

· 若怀疑私钥已泄露，应立即在安全设备上建立新钱包，转移资产并永久停用旧地址

常见问题

EngageLab SDK 是什么，为什么被广泛整合于加密钱包？

EngageLab SDK 是提供 Android 推送通知功能的第三方软件套件，因部署便利被大量应用采用。推送通知几乎是所有移动应用的标配功能，这也使 EngageLab SDK 在加密钱包及金融应用中广泛存在，进而导致此次漏洞的波及规模达到 5,000 万用户。

如何确认自己的设备是否受此漏洞影响？

若您的 Android 设备安装了加密钱包或金融应用，且尚未更新至最新版本，则存在受影响风险。建议立即在 Google Play 商店更新所有应用。开发者可通过核查应用内的 SDK 版本号，确认是否使用了低于 4.5.5 版本的 EngageLab SDK。

私钥若已泄露，应如何紧急处置？

应立即在未受感染的安全设备上建立全新钱包地址，将原钱包所有资产转移至新地址，并永久停用原有地址。同步更改所有相关平台的登录密码，并为账户启用双重验证，以降低后续遭进一步入侵的风险。