2025 年 12 月 25 日,有报告浮出水面,表明 Trust Wallet 浏览器扩展出现重大安全事件,据称用户资金损失超过 200 万美元。 区块链调查员 ZachXBT 标记了可疑活动,表明可能存在供应链妥协,导致广泛的 Trust Wallet 浏览器扩展漏洞,从而引发了整个加密社区的紧急警告。
警钟响起:最初的怀疑浮出水面
2025 年 12 月 25 日,当著名的区块链侦探 ZachXBT 提请人们注意一系列令人不安的用户报告时,加密社区被警告 Trust Wallet 浏览器扩展中存在潜在漏洞。 这些报告详细说明了钱包莫名其妙地被掏空的实例,其时间通常与 12 月 24 日发布的最新浏览器扩展更新相吻合。这一系列快速发生的事件立即引起了安全专家和用户的警惕。
最初的调查结果指向可疑的供应链妥协,这是一种复杂的攻击媒介,其中恶意代码在开发或分发过程中被注入到合法的软件中。 这种类型的攻击特别阴险,因为它绕过了传统的用户端网络钓鱼尝试,直接损害了应用程序本身的完整性。 其影响是严重的,这表明旨在保护数字资产的工具可能已成为盗窃的渠道。
剖析恶意软件:据称 Trust Wallet 浏览器扩展漏洞是如何运作的
独立研究人员的进一步调查开始拼凑出漏洞背后的所谓机制。 据报道,对更新后的扩展代码的分析显示,新引入了一个 JavaScript 文件,巧妙地伪装成例行分析。 该模块不仅仅是收集数据; 它旨在在特定关键条件下激活:当用户将助记词导入浏览器扩展时。
一旦触发,恶意代码据称会立即生效,悄悄地将敏感的钱包数据(特别是助记词)转移到外部域。 该域的目的是模仿 Trust Wallet 的官方基础设施,从而创建一个具有欺骗性的外观。 有趣的是,报告表明,这个欺诈性域仅在事件发生前几天才注册,并在漏洞被发现后不久迅速下线。 这种协调的时间安排和域名的迅速消失强烈表明这是一种蓄意且复杂的攻击,而不是孤立的故障或用户错误。
后果:用户报告和估计的财务损失
在最初的警报发出后,大量用户站出来证实了钱包被掏空的说法。 这些人报告了重大损失,通常发生在他们将助记词导入受影响的浏览器扩展后不久。 公开分享的估计数字(尽管尚未经过 Trust Wallet 的独立验证)表明,财务损失总额可能超过 200 万美元。 这个巨大的数字凸显了 Trust Wallet 浏览器扩展漏洞 的潜在规模。
观察链上活动的分析师注意到被盗资金转移方式的一致模式。 这些资产不是通过孤立的交易,而是通过多个中间地址进行路由,这是自动化利用系统用来掩盖踪迹和使恢复工作复杂化的常用策略。 这种复杂的资金转移进一步强化了协调攻击的理论,将其与更简单、个人化的网络钓鱼事件区分开来。
应对后果:Trust Wallet 的响应和用户保障
截至 2025 年 12 月 25 日,Trust Wallet 尚未发布关于这些指控的官方公开声明、澄清或安全公告。 这种沉默使用户和更广泛的加密社区处于不确定状态,严重依赖独立调查和安全研究人员的指导。 缺乏立即响应(例如扩展回滚或紧急补丁)进一步加剧了担忧。
鉴于正在进行的调查和缺乏官方确认,强烈建议用户格外小心。 以下是一些关键建议:
- 避免导入助记词: 在提供官方安全更新或澄清之前,请勿将助记词导入或重新输入到 Trust Wallet 浏览器扩展中。
- 考虑替代方案: 对于即时交易或资产管理,请考虑使用 Trust Wallet 移动应用程序,该应用程序未涉及此特定漏洞。
- 监控帐户活动: 定期检查您的钱包余额和交易历史记录,以查找任何可疑活动。
- 随时了解情况: 关注信誉良好的区块链安全研究人员和 Trust Wallet 官方渠道以获取更新。
- 撤销权限: 如果您怀疑您的钱包可能已受到威胁,请考虑撤销任何令牌的有效智能合约权限,以防止进一步的未经授权的访问。
该事件是对 Web3 领域中持续存在的安全挑战的严峻提醒,特别是关于浏览器扩展中的供应链漏洞。 在调查继续进行的同时,重点仍然是用户安全和数字资产管理的完整性。 像 cryptoview.io 这样的工具可以提供对市场趋势和钱包活动的宝贵见解,帮助用户随时了解更广泛的生态系统的健康状况。 在 CryptoView.io 上寻找机会
