The Last 24 Hours | 安全无小事
Trust Wallet Chrome 扩展漏洞导致 700 万美元加密资产损失
Trust Wallet 正在
该问题影响 2.68 版。根据 Chrome 网上应用店列表,这一扩展约有一百万用户。用户被建议尽快更新至
“我们已确认约 700 万美元受影响,我们将确保所有受影响用户得到退款,”Trust Wallet 在 X 上的帖子中表示。“支持受影响用户是我们的首要任务,我们正积极完成退款流程。”
Trust Wallet 同时提醒用户不要与任何非官方渠道的消息交互。仅移动端用户及其他浏览器扩展版本不受影响。
根据 SlowMist 分享的细节,2.68 版引入了恶意代码,设计用于遍历扩展中存储的所有钱包,并为每个钱包触发助记词请求。
“加密的助记词随后使用在钱包解锁时输入的密码或密钥进行解密,”区块链安全公司表示。“解密后,助记词会被发送到攻击者的服务器 api.metrics‑trustwallet[.]com。”
域名 “metrics‑trustwallet[.]com” 于 2025 年 12 月 8 日注册,首个对 “api.metrics‑trustwallet[.]com” 的请求始于 2025 年 12 月 21 日。
进一步分析显示,攻击者利用了一个名为 posthog‑js 的开源全链分析库来收集钱包用户信息。
迄今被盗的数字资产包括约 300 万美元比特币、431 美元 Solana,以及超过 300 万美元以太坊。被盗资金已通过中心化交易所和跨链桥进行洗钱和兑换。根据区块链调查员 ZachXBT 的更新,此事件已波及数百名受害者。
“约 280 万美元的被盗资金仍在黑客的钱包中(比特币/EVM/Solana),其余超过 400 万美元已被转至中心化交易所:约 330 万美元至 ChangeNOW,约 34 万美元至 FixedFloat,约 44.7 万美元至 KuCoin,”PeckShield 表示。
“此次后门事件源于 Trust Wallet 扩展内部代码(分析逻辑)的恶意源码修改,而非注入的第三方受损依赖(如恶意 npm 包)”,SlowMist 说明。
“攻击者直接篡改了应用自身代码,随后利用合法的 PostHog 分析库作为数据外泄通道,将分析流量重定向至攻击者控制的服务器。”
公司表示,此次攻击可能是国家级行为者所为,攻击者可能在 2025 年 12 月 8 日之前获取了 Trust Wallet 相关开发者设备的控制权或部署权限。
币安联合创始人赵长鹏暗示此漏洞“很可能”是内部人员所为,尽管未提供进一步证据。
更新
Trust Wallet 在后续更新中,已
“我们看到通过 Telegram 广告、假冒‘赔偿’表单、冒名支持账号和私信进行的诈骗,”公司警告道。“始终核实链接,绝不分享恢复短语,只使用官方 Trust Wallet 渠道。”
Trust Wallet 首席执行官 Eowyn Chen 表示,针对该事件的调查正在进行中,并重申仅 Chrome 浏览器扩展 2.68 版用户在 2025 年 12 月 26 日上午 11 点 UTC 前登录才受影响。
“恶意的 2.68 版扩展并非通过我们的内部手动流程发布,”Chen 说。“我们的初步发现表明,它最有可能是通过 Chrome 网上应用店 API 密钥在外部发布,绕过了我们的标准发布检查。”
“黑客使用泄露的 Chrome 网上应用店 API 密钥提交了恶意的 2.68 版扩展,该扩展于 2025 年 12 月 24 日下午 12:32 UTC 通过审查并发布。”
在发现泄露后,Chen 表示公司已暂停恶意域名、撤销所有发布 API,并为受影响受害者处理退款。
Trust Wallet 透露已识别出 2,596 个受恶意扩展影响的钱包地址。
“在这批受影响的用户中,我们收到了约 5,000 份索赔,这显示出大量虚假或重复提交试图获取受害者赔偿,”Chen 说。“因此,准确验证钱包所有权对于确保资金返还至正确人员至关重要。”
(本文在发布后已更新以反映最新进展。)