自选
我的自选
查看全部
市值 价格 24h%
SVG Image
  • 全部
  • 产业
  • Web 3.0
  • DAO
  • DeFi
  • 符文
  • 空投再质押
  • 以太坊
  • Meme
  • 比特币L2
  • 以太坊L2
  • 研报
  • 头条
  • 投资
30.00% 70.00%
利好
利空

热门币种

更多

免责声明:内容不构成买卖依据,投资有风险,入市需谨慎!

700万美元Trust Wallet扩展程序被黑事件:全面解析

2026-01-03 00:00:47
收藏

Trust Wallet扩展程序遭恶意更新致用户损失约700万美元

Trust Wallet确认其官方Chrome浏览器扩展程序的恶意更新导致约700万美元用户资金被盗。此次漏洞仅影响扩展程序的2.68版本,攻击者通过嵌入恶意代码窃取钱包助记词。据报道,移动用户及其他浏览器版本未受影响。


事件经过

事件始于2025年12月24日Trust Wallet发布Chrome扩展程序2.68.0版本。初期用户报告零星资产丢失,通过扩展程序访问或导入的钱包在短时间内被清空。这些看似独立的案例很快指向更广泛的问题。

12月25日,链上调查员ZachXBT在资金仍在链上转移时发布公开警告,直接将钱包清空事件与v2.68更新关联。其分析证实这并非用户操作失误或网络钓鱼,而是浏览器扩展程序遭到篡改。

截至12月26日,Trust Wallet确认安全漏洞,声明仅2.68版本受影响,敦促用户立即升级至2.69版本。根据Chrome应用商店数据,该扩展程序约有一百万用户。

Trust Wallet后续确认,跨多个区块链的被盗数字资产价值约700万美元。


受影响用户范围

仅于UTC时间12月26日11:00前安装或登录Trust Wallet Chrome扩展程序2.68版本的用户存在风险。

根据Trust Wallet与安全研究人员确认:

移动端用户未受影响

其他浏览器扩展版本未受影响

通过2.68版本访问的钱包可能完全暴露

多数情况下,钱包在解锁扩展程序或导入助记词后数分钟内即被清空。数百个钱包受到影响,包括比特币、以太坊及Solana地址。

Trust Wallet首席执行官Eowyn Chen确认,在受影响时段登录的用户应默认钱包已暴露,需创建新钱包。


恶意代码运作机制

据区块链安全公司SlowMist分析,此次攻击并非由恶意第三方库引发,而是攻击者直接篡改了Trust Wallet自有扩展代码。恶意逻辑被嵌入扩展程序的分析组件中。

具体流程如下:

代码遍历扩展程序中存储的所有钱包

对每个钱包触发助记词请求

用户解锁钱包时,加密的种子短语被解密

解密后的助记词发送至攻击者控制的服务器

数据外泄至api.metrics-trustwallet[.]com域名。该域名注册于2025年12月8日,服务器请求始于12月21日,早于恶意更新发布数日。

攻击者以合法开源分析库posthog-js为掩护,将数据流量重定向至自有服务器而非正确分析端点。SlowMist指出这是内部代码库泄露,而非依赖库污染。


恶意扩展发布途径

Trust Wallet内部调查发现其发布流程存在重大疏漏。据CEO透露,攻击者利用泄露的Chrome应用商店API密钥发布了恶意版本。

被篡改的扩展程序于UTC时间12月24日12:32上传,此举绕过了Trust Wallet常规内部检查机制。

这表明攻击者未直接利用用户漏洞,而是针对分发基础设施进行攻击。此类供应链攻击因软件具官方认证外观而更难察觉。


资金去向与规模

Trust Wallet与独立研究人员预估总损失约700万美元。

已确认被盗资产包括:

约300万美元比特币

超300万美元以太坊

少量Solana及其他资产

据PeckShield与ZachXBT追踪,被盗资金已被快速转移。主要流向包括:

约330万美元转入ChangeNOW

约34万美元转入FixedFloat

约44.7万美元转入KuCoin

超400万美元经中心化交易所流转。截至最新统计,约280万美元仍存于攻击者控制钱包。

该模式与其他钱包入侵案件相似,攻击者通过即时兑换服务与跨链桥降低可追踪性。


应对与补偿方案

Trust Wallet迅速推出修复方案,于12月25日发布2.69版本移除恶意代码,敦促用户立即停用2.68版本。

公司同步启动正式补偿计划,受影响用户可通过官方支持表单提交申请。流程需提供:

邮箱地址

居住国家

受影响钱包地址

攻击者收款地址

相关交易哈希

Trust Wallet声明将对每项申请进行独立验证,并表示正全力完善补偿流程细节,确保核查准确性与安全性。

于2018年收购Trust Wallet的币安联合创始人赵长鹏确认将承担全部损失。


对钱包安全生态的警示

本次事件凸显加密领域持续存在的风险。即使非托管钱包也依赖软件分发渠道,一旦渠道失守,用户可能损失全部资产。

Trust Wallet攻击事件延续了行业普遍模式。今年初Coinbase因印度客服人员受贿导致漏洞,承诺赔偿超4亿美元。

攻击手法各异,最终结果相同——信任边界持续面临挑战。

对用户而言,应遵循基础安全准则:

将浏览器扩展视为高风险软件

及时安装安全更新

疑似暴露钱包立即转移资产

严禁重复使用已暴露助记词

对钱包提供商而言,此事件警示发布流程安全的重要性。API密钥、构建管道与应用商店凭证已成为首要攻击目标。


总结

Trust Wallet扩展程序遭700万美元损失的根源是供应链攻击,而非用户过失。Chrome扩展2.68版本中的恶意代码窃取助记词,清空多链钱包。Trust Wallet通过下架受影响版本、发布补丁及全额赔付作出响应。该事件表明浏览器扩展仍是加密领域关键攻击界面,用户与开发者均需将分发安全提升至私钥管理同等重要地位。

展开阅读全文
更多新闻