核心要点
- Trust Wallet Chrome扩展程序在近期更新中被植入恶意代码
- 在2.68版本导入助记词的用户损失约600-700万美元
- 币安宣布将通过SAFU基金全额赔偿受影响用户
本该平静的圣诞夜却成为数百名Trust Wallet用户的噩梦——其Chrome扩展程序的恶意更新导致私钥泄露,造成数百万美元加密货币被盗。
事件于12月25日晚间爆发,用户开始报告在将恢复短语导入Trust Wallet浏览器扩展后不久,钱包资金就被盗取。
据币安创始人赵长鹏(CZ)称,损失金额已接近700万美元。
Trust Wallet黑客事件:问题出在哪里
漏洞追踪至Trust Wallet Chrome扩展程序2.68版本。
安装该更新并导入助记词的用户在不知情中将钱包密钥拱手让给了攻击者。
调查人员后来确定,该事件是一次供应链攻击的结果。
恶意代码被悄悄植入扩展程序的JavaScript文件中,伪装成常规分析功能。
当用户导入恢复短语时,代码激活并将敏感钱包数据传输到攻击者控制的域名。
由于漏洞利用在后台静默运行,没有明显的警告迹象。
受害者并未点击钓鱼链接或批准可疑交易。在许多情况下 ,资金几乎在钱包恢复后立即消失。
攻击者控制的域名在漏洞利用上线前不久注册,现已被关闭。
Trust Wallet的应对措施
Trust Wallet表示 ,该漏洞仅限于Chrome浏览器扩展,未影响其移动应用程序或底层区块链本身。
问题确认后不久发布了修复版本2.69。
“我们已发现仅影响Trust Wallet浏览器扩展2.68版本的安全事件。使用2.68版本浏览器扩展的用户应禁用并升级至2.69版本。”
敦促用户立即禁用受影响版本,并在更新前勿重新打开扩展程序。
建议任何在2.68版本中导入过助记词的用户默认认定钱包已遭泄露。
虽然调查仍在进行中,但初步发现表明攻击针对的是扩展程序的更新过程,而非Trust Wallet的核心基础设施。
随着加密货币钱包越来越依赖第三方工具和浏览器环境,此类漏洞已变得日益常见。
用户会获得赔偿吗?
CZ确认币安将使用其用户安全资产基金(SAFU)承担损失,表示受影响用户将获得全额赔偿。
“截至目前,此次黑客攻击已造成700万美元损失。Trust Wallet将承担。用户资金是安全的(SAFU)。对于造成的任何不便,我们深表歉意。团队仍在调查黑客如何能够提交新版本。”
链上调查人员(包括ZachXBT )追踪到早期损失超过600万美元,个别用户报告损失从几千美元到更大金额的余额清零不等。
用户当前应对措施
安全专家建议,任何与受影响版本交互过的用户应立即将资金转移至新钱包,且切勿重复使用已泄露的助记词。
同时强烈建议撤销与受影响地址关联的现有授权。
该事件重新引发了关于基于浏览器的钱包的讨论——它们虽提供便利,但也带来额外风险,尤其是在更新期间。
许多安全专业人士继续建议持有较大余额的用户依赖硬件钱包,后者将私钥离线存储。
对Trust Wallet用户而言,时机再糟糕不过。
然而,此事件残酷地提醒我们一个加密货币领域的严酷现实:区块链本身可能坚不可摧,但人们用来访问它的软件仍然是频繁的故障点。
随着行业进入2026年,Trust Wallet漏洞事件为日益增多的供应链攻击名单再添一笔——也提醒我们即使可信工具也可能在一夜之间变成负担。
