交易所
交易所排行榜
24小时成交排行榜
人气排行榜
交易所比特币余额
交易所资产透明度证明
资金费率
资金费率热力图
爆仓数据
清算最大痛点
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
ETF追踪
比特币持币公司
加密资产反转
以太坊储备
HyperLiquid钱包分析
Hyperliquid鲸鱼监控
索拉纳ETF
大额转账
链上异动
比特币回报率
稳定币市值
期权分析
新闻
文章
财经日历
专题
钱包
合约计算器
账号安全
资讯收藏
自选币种
我的关注
Trust Wallet扩展程序遭恶意更新,致用户损失约700万美元
Trust Wallet确认其官方Chrome浏览器扩展程序因遭受恶意更新,导致用户资金损失约700万美元。此次安全事件仅影响扩展程序的2.68版本,攻击者通过嵌入恶意代码窃取用户钱包助记词。据报道,移动端用户及其他浏览器版本未受影响。
Trust Wallet扩展程序攻击事件经过
事件始于2025年12月24日Trust Wallet发布Chrome扩展程序2.68.0版本。最初用户报告零散资产损失,通过该扩展程序访问或导入的钱包在短时间内被清空。随后零星个案迅速指向更广泛的问题。
圣诞节当天,链上调查人员ZachXBT在资产仍于链上转移时发布公开警告,直接将钱包资金流失与v2.68更新关联。其分析证实这并非用户操作失误或钓鱼攻击,而是扩展程序遭到入侵。
12月26日,Trust Wallet确认安全漏洞,声明仅2.68版本受影响,敦促用户立即升级至2.69版本。根据Chrome应用商店数据,该扩展程序用户约一百万。
Trust Wallet后续确认,跨多条区块链被盗的数字资产价值约700万美元。
受影响用户范围
仅在北京时间12月26日19:00前安装或登录Trust Wallet Chrome扩展程序2.68版本的用户存在风险。
据Trust Wallet及安全研究人员指出:
移动端应用未受影响;其他浏览器扩展版本未受影响;通过2.68版本访问的钱包可能完全被入侵。
多起案例中,钱包在解锁扩展程序或导入助记词后数分钟内被清空。受影响钱包达数百个,包括比特币、以太坊及Solana地址。
Trust Wallet首席执行官Eowyn Chen确认,在受影响时段内登录的用户应假设钱包已暴露,需创建新钱包。
恶意代码运作机制
据区块链安全公司SlowMist分析,此次攻击并非由恶意第三方库引发,而是攻击者直接篡改Trust Wallet自有扩展代码,恶意逻辑嵌入在扩展程序的分析组件中。
其运作方式如下:代码遍历扩展程序存储的所有钱包;针对每个钱包触发助记词请求;用户解锁钱包时,加密的助记词被解密;解密后的助记词发送至攻击者控制的服务器。
数据外泄至api.metrics-trustwallet[.]com。该域名注册于2025年12月8日,向服务器发送请求始于12月21日,早于恶意更新发布数日。
攻击者以合法开源分析库posthog-js为掩护,将流量重定向至其服务器而非正确的分析端点。SlowMist指出此为内部代码库被入侵,而非依赖库污染。
恶意扩展程序如何被发布
Trust Wallet内部调查发现其发布流程存在重大疏漏。据首席执行官透露,攻击者利用泄露的Chrome应用商店API密钥发布恶意版本。
被篡改的扩展程序于UTC时间12月24日12:32上传,绕过了Trust Wallet正常的内部审核流程。
这表明攻击者并非直接利用用户,而是针对分发基础设施下手。此类软件供应链攻击因软件表面具官方认证而更难被察觉。
被盗金额与资金流向
Trust Wallet与独立研究人员估算总损失约700万美元。已知被盗资产包括:约300万美元比特币;超300万美元以太坊;少量Solana及其他资产。
据PeckShield与ZachXBT追踪,被盗资金被快速转移。关键动向包括:约330万美元转入ChangeNOW;约34万美元转入FixedFloat;约44.7万美元转入KuCoin。
超400万美元资金流经中心化交易所。截至最新统计,攻击者控制钱包中仍存约280万美元。此模式与其他钱包入侵案件相似,攻击者通过即时兑换服务及跨链桥降低可追踪性。
Trust Wallet的应对与赔偿方案
Trust Wallet迅速推出修复版本2.69,于12月25日发布以移除恶意代码,并敦促用户立即停用2.68版本。
公司同时启动正式赔偿程序。受影响用户可通过官方支持表单提交申请,需提供以下信息:电子邮件地址、居住国家、受损钱包地址、攻击者收款地址及相关交易哈希。
Trust Wallet声明将对每项申请单独核查,并表示正全天候完善赔偿流程细节,每个案例均需审慎验证以确保准确性与安全性。
于2018年收购Trust Wallet的币安联合创始人兼前首席执行官赵长鹏承诺承担全部损失。
此次攻击对钱包安全的警示
本次事件凸显加密领域长期存在的风险:即使非托管钱包也依赖软件分发渠道,一旦渠道失守,用户可能损失全部资产。
Trust Wallet攻击延续了行业普遍模式。今年早些时候,Coinbase因印度客服人员受贿导致的独立安全事件承诺赔偿超4亿美元。
攻击手法各异,结果相同:信任边界在薄弱环节破裂。
对用户而言,此事强化了基本安全准则:将浏览器扩展程序视为高风险软件;修复发布后立即更新;若钱包可能受损及时转移资产;绝不重复使用已暴露的助记词。
对钱包提供商而言,此事件警示发布流程的安全性。API密钥、构建管道与应用商店凭证已成为主要攻击目标。
结语
Trust Wallet扩展程序700万美元损失事件源于供应链被入侵,而非用户过失。Chrome扩展程序2.68版本中嵌入的恶意代码窃取助记词并清空多链钱包。Trust Wallet通过移除受影响版本、发布修复程序并承诺全额赔偿予以应对。此事件表明浏览器扩展程序仍是加密领域关键攻击面,用户与开发者必须将分发安全视为与私钥管理同等重要。
