Trust Wallet 扩展程序 7 万美元被盗案：你需要知道的一切

信任钱包 确认 据称，其官方Chrome浏览器扩展程序的一次恶意更新导致约7万美元用户资金被盗。此次安全漏洞仅影响了该扩展程序的2.68版本，攻击者通过嵌入恶意代码窃取了用户的钱包助记词。据报道，移动用户和其他浏览器版本未受影响。

Trust Wallet 扩展程序遭黑客攻击事件的来龙去脉是什么？

事件始于2025年12月24日，当时Trust Wallet发布了其Chrome扩展程序的2.68.0版本。起初，用户报告的损失零星分散。用户通过该扩展程序访问或导入钱包后不久，钱包里的钱就被清空。这些看似孤立的案例很快指向了一个更广泛的问题。

圣诞节当天，链上调查员 ZachXBT 发行 在被盗资金仍在链上转移时，他发布了公开警告。他将钱包资金的流失直接与 v2.68 版本更新联系起来。他的分析证实，这并非用户操作失误或网络钓鱼，而是浏览器扩展程序被入侵所致。

12月26日，Trust Wallet确认了此次安全漏洞事件。该公司表示，只有2.68版本受到影响，并敦促用户立即升级到2.69版本。根据Chrome网上应用商店的信息，该Chrome扩展程序拥有约一百万用户。

Trust Wallet 随后证实，约有价值 7 万美元的数字资产在多个区块链上被盗。

哪些用户受到影响？

只有在 UTC 时间 12 月 26 日上午 11:00 之前安装或登录 Trust Wallet Chrome 扩展程序 2.68 版本的用户才会面临风险。

根据 Trust Wallet 和安全研究人员的说法：

• 移动应用用户未受影响。
• 其他浏览器扩展程序版本不受影响。
• 通过 2.68 版本访问的钱包可能已被完全攻破。

在许多情况下，用户解锁扩展程序或导入助记词后几分钟内，钱包就被清空。数百个钱包受到影响，其中包括比特币、以太坊和 Solana 地址。

Trust Wallet 首席执行官 Eowyn Chen 证实，在受影响期间登录的用户应假定他们的钱包已暴露，并创建新的钱包。

恶意代码是如何运作的？

根据区块链安全公司 SlowMist此次攻击并非由恶意第三方库引起，而是攻击者直接修改了Trust Wallet自身的扩展程序代码。恶意逻辑被嵌入到该扩展程序的分析组件中。

发现有前途的项目...

有前景的项目...

（广告）

文章继续...

具体操作如下：

• 该代码遍历了扩展程序中存储的所有钱包。
• 它触发了每个钱包的助记词请求。
• 当用户解锁钱包时，加密的助记词会被解密。
• 解密后的助记词被发送到攻击者控制的服务器。

数据被泄露到 api.metrics-trustwallet[.]com。该域名注册于 2025 年 12 月 8 日。对该服务器的请求始于 12 月 21 日，比恶意更新发布早几天。

攻击者利用名为 posthog-js 的合法开源分析库作为掩护。流量没有发送到正确的分析端点，而是被重定向到攻击者的服务器。

SlowMist 表示，这是内部代码库的妥协，而不是依赖项被污染导致的。

被篡改的扩展程序是如何发布的？

Trust Wallet 的内部调查发现其发布流程存在严重缺陷。据首席执行官 Eowyn Chen 称，泄露的 Chrome 网上应用商店 API 密钥被用于发布恶意版本。

被入侵的扩展程序于 12 月 24 日下午 12:32（UTC 时间）上传。这绕过了 Trust Wallet 的正常内部检查。

这表明攻击者并未直接攻击用户，而是利用了分发基础设施。此类供应链攻击更难检测，因为软件看起来官方且可信。

被盗金额是多少？这些钱都去了哪里？

Trust Wallet 和独立研究人员估计总损失约为 7 万美元。

已知被盗资产明细如下：

• 约3万美元 比特币
• 超过 3 万美元 Ethereum
• 少量 索拉纳 以及其他资产

根据 啄盾 ZachXBT 被盗的资金很快就被洗白了。

主要举措包括：

• 约有3.3万美元已捐赠给ChangeNOW
• 约有 340,000 万美元已汇至 FixedFloat。
• 大约有 447,000 美元发送到 KuCoin

超过4万美元通过中心化交易所进行交易。截至最新更新，攻击者控制的钱包中仍保留着约2.8万美元。

这种模式与其他钱包被盗用案例类似，攻击者利用即时兑换服务和桥接服务来降低可追溯性。

Trust Wallet的回应和赔偿计划

Trust Wallet 迅速发布了修复程序。2.69 版本于 12 月 25 日发布，移除了恶意代码。用户被敦促立即禁用 2.68 版本。

公司还推出了一项正式的薪酬方案。

受影响的用户可以通过以下方式提交索赔： Trust Wallet 网站上的官方支持表格该过程需要：

• 邮箱
• 居住国家
• 被盗用的钱包地址
• 攻击者接收地址
• 相关交易哈希

Trust Wallet声明，每一项索赔都会经过单独核实。

该公司表示：“我们正在夜以继日地工作，以最终确定赔偿流程的细节，每个案件都需要仔细核实，以确保准确性和安全性。”

币安联合创始人兼前首席执行官赵长鹏证实，币安在 2018 年收购 Trust Wallet 后，将弥补损失。

为什么这次黑客攻击对钱包安全至关重要

此次事件凸显了加密货币领域一个反复出现的风险。即使是非托管钱包也依赖于软件分发渠道。一旦这些渠道出现故障，用户可能会损失所有资金。

Trust Wallet 遭黑客攻击事件与业内普遍存在的类似模式相符。今年早些时候，Coinbase 披露，在印度发生一起与受贿客服人员有关的数据泄露事件后，公司将赔偿超过 400 亿美元。

不同的攻击手段，相同的结果。信任假设在边缘处失效。

对用户而言，这强化了基本的安全规则：

• 将浏览器扩展程序视为高风险软件
• 修复程序发布后立即更新
• 如果钱包可能被盗，请转移资金。
• 切勿重复使用已泄露的种子短语。

对于钱包提供商而言，此次事件的教训在于发布安全性。API密钥、构建流程和存储凭证现在都成了主要的攻击目标。

结语

Trust Wallet 扩展程序遭黑客攻击，损失高达 7 万美元，这并非用户操作失误，而是供应链遭到破坏所致。Chrome 扩展程序 2.68 版本中嵌入的恶意代码窃取了用户的助记词，并盗空了多个区块链上的钱包。 

Rust Wallet 的回应是移除受影响的版本，发布修复程序，并承诺全额赔偿。此次事件凸显了浏览器扩展程序在加密货币领域仍然是一个重要的攻击面，也说明了用户和开发者都必须像重视私钥管理一样重视分发安全。

资源中心

1. Trust Wallet on X12月26日公告

2. Slowmist 在 X 上发布关于 Trust Wallet 漏洞的报告

3. PeckShield 在 X 上的帖子关于 Trust Wallet 漏洞