交易所
交易所排行榜
24小时成交排行榜
人气排行榜
交易所比特币余额
交易所资产透明度证明
资金费率
资金费率热力图
爆仓数据
清算最大痛点
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
ETF追踪
比特币持币公司
加密资产反转
以太坊储备
HyperLiquid钱包分析
Hyperliquid鲸鱼监控
索拉纳ETF
大额转账
链上异动
比特币回报率
稳定币市值
期权分析
新闻
文章
财经日历
专题
钱包
合约计算器
账号安全
资讯收藏
自选币种
我的关注
加密货币钱包供应链攻击事件解析
据链上调查机构ZachXBT披露,Trust Wallet浏览器扩展程序遭遇供应链攻击,导致跨链生态中数百个加密钱包资产被清空。虽然早期报告将原因描述为不明,但后续分析显示此次事件与2025年圣诞节期间分发的恶意扩展版本有关。
恶意扩展程序成为攻击源头
调查显示Trust Wallet Chrome扩展程序2.68版本是本次攻击的入口。该事件并非用户操作失误或钓鱼攻击,而是源于开发端的供应链安全漏洞。攻击者通过获取开发者GitHub凭证及Chrome应用商店API密钥,将植入后门的扩展程序直接发布至官方商店。
这个被篡改的版本内含恶意JavaScript代码,可在用户输入时窃取钱包助记词。一旦私钥泄露,攻击者即可清空该钱包支持的所有区块链资产。
跨链资产流失波及近20条公链
由于受感染的扩展程序支持多链操作,攻击者得以快速在不同生态间转移资产。目前已追踪到近20条EVM兼容链存在资金异常流动,包括以太坊、BNB Chain、Base、Arbitrum和Polygon等。
由于助记词泄露,受影响用户在使用非EVM链(包括比特币和Solana)时的资产同样遭到窃取,尽管初始攻击是通过EVM定向扩展程序发起。据估算总损失金额在600万至700万美元之间,单个钱包平均损失低于2000美元,表明这是一次广泛性的自动化攻击而非针对性高价值入侵。
受影响群体范围确认
本次事件严格限于使用Trust Wallet Chrome扩展程序v2.68的用户。纯移动端用户未受影响。Trust Wallet现已发布2.69版本,该版本已移除恶意代码并修复安全漏洞。
用户应急处理指南
Trust Wallet为潜在受影响用户提供明确指导:立即停用v2.68版本扩展程序;升级至2.69或更高版本;将所有资产转移至全新钱包(因助记词一旦泄露即永久失效);此前使用v2.68版本的钱包应视为持续暴露状态。由于攻击涉及私钥泄露,仅重新安装扩展程序不足以恢复安全。
赔偿机制与后续调查
Trust Wallet已公开承认此次安全事件,并承诺对受影响用户进行全额赔付。官方已启动索赔流程用于核实损失并安排补偿。与此同时,ZachXBT等安全研究人员仍在持续追踪攻击者钱包地址,资金流向图谱绘制与事件影响范围评估仍在进行中。
钱包安全警示录
本次事件凸显了加密安全领域的核心风险:供应链攻击可完全绕过用户防护机制。即使严格规避钓鱼链接的用户仍会因官方分发渠道传播的恶意代码而遭受损失。随着浏览器钱包日益普及,该事件警示行业需要加强扩展程序安全审核、强化密钥管理规范,并建立更透明的软件更新流程监督机制。
