交易所
交易所排行榜
24小时成交排行榜
人气排行榜
交易所比特币余额
交易所资产透明度证明
资金费率
资金费率热力图
爆仓数据
清算最大痛点
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
ETF追踪
比特币持币公司
加密资产反转
以太坊储备
HyperLiquid钱包分析
Hyperliquid鲸鱼监控
索拉纳ETF
大额转账
链上异动
比特币回报率
稳定币市值
期权分析
新闻
文章
财经日历
专题
钱包
合约计算器
账号安全
资讯收藏
自选币种
我的关注
攻击者早有预谋,用户将获全额赔偿
攻击者并未利用突发漏洞,而是早有预谋地潜伏在钱包浏览器扩展的工作流程中。这起事件最终导致约700万美元损失,数百名安装了特定版本扩展程序的桌面用户受到影响。
核心要点
Trust Wallet漏洞利用计划早在数周前便开始筹划,并于圣诞节当日触发;数百名桌面钱包用户损失约700万美元;攻击涉及浏览器扩展中植入的后门程序。
更新程序成为入侵突破口
事件核心集中在Trust Wallet的Chrome浏览器扩展2.68版本。运行该版本的用户在不知情的情况下与遭篡改的代码产生交互,而移动端钱包未受影响。Trust Wallet后续在检测到异常活动后,立即敦促用户升级至最新版本。
此案的特殊性在于时间节点的选择。尽管资金是在圣诞节当天被盗,区块链安全研究人员指出漏洞利用准备时间远早于此,表明攻击者一直在等待足够多的用户暴露在风险中才启动窃取程序。
后门程序而非暴力破解
根据SlowMist披露的调查结果,扩展程序中嵌入的恶意代码不仅支持未授权转账,还会收集用户数据并悄无声息地发送至攻击者控制的外部服务器。SlowMist联合创始人余弦揭示了这场分阶段攻击:12月初进行前期准备,圣诞节前数日植入后门,待环境成熟后立即执行。这种精密策划显示出攻击者对扩展程序架构的深入了解。
数百钱包遭协同洗劫
区块链调查员ZachXBT确认了数百个受影响的钱包,资金均以相似模式被快速转移。交易行为的高度一致性印证了这不是用户操作失误或网络钓鱼,而是一场大规模协同攻击。尽管相比历史上某些加密货币黑客事件,700万美元的损失规模较小,但因其针对个人钱包而非交易所的特点显得尤为突出——这类攻击面正在持续扩大。
币安承诺全额赔付
Trust Wallet归属币安旗下,赵长鹏确认受影响用户将获得全额补偿。他承认事件严重性,承诺承担全部损失,以此限制对受害者的直接财务影响。然而这项保证并未消除人们对遭篡改扩展程序如何能够触达用户的根本性质疑。
内部权限引发质疑
多位行业人士对此漏洞利用的性质提出警示。攻击者既能推送修改版扩展程序,又对代码库如此熟悉,使得部分专家怀疑存在内部参与。区块链顾问Anndy林公开质疑此类攻击是否可能在无内应的情况下发生。赵长鹏本人也认同此观点,公开表示此次入侵"极有可能"是内部作案。
对钱包用户的广泛警示
Trust Wallet事件发生之际,正值加密货币安全威胁格局发生重大转变。Chainalysis数据显示,若排除异常庞大的Bybit黑客事件,2025年个人钱包盗取案件已占加密货币损失总量的三分之一以上。随着交易所强化防御体系,攻击者正将目标转向浏览器扩展和个人钱包——这些领域的更新机制和用户信任更易被利用。
超越700万美元的损失
尽管经济赔偿可能为事件画上句号,但更严峻的问题依然悬而未决:遭篡改的代码如何被部署?谁有权访问扩展程序流水线?其他钱包提供商又潜藏着多少类似风险?
当前Trust Wallet漏洞利用事件已然警示我们:在加密领域,最危险的漏洞可能并非存在于区块链本身,而潜藏于用户访问区块链所依赖的软件层级中。
