Trust Wallet 遭圣诞劫案:黑客利用扩展漏洞盗取超 600 万美元
一次看似常规的 Chrome 扩展更新,成为了一场加密资产大劫案的起点。12 月 24 日,Trust Wallet 向 Chrome 应用商店推送了扩展功能的更新,版本号为 2.68。
12 月 25 日圣诞节当天,首批受害者醒来发现钱包资金未经授权被转走。区块链侦探 ZachXBT 迅速介入调查,并在 Telegram 群组发出紧急警报。
随着调查的深入,事件的全貌逐渐浮出水面:受影响的仅限浏览器扩展的 2.68 版本,移动端及其他版本不受影响。
01 事件概述:圣诞安全事件与多方反应
2025 年 12 月 25 日,一个本该充满欢乐的圣诞节,却成了数百名 Trust Wallet 用户的噩梦。链上侦探 ZachXBT 发出警报,指出 Trust Wallet 平台数百名用户遭遇资金被盗,损失金额已至少达到 600 万美元。
Trust Wallet 是币安旗下的加密货币钱包,声称拥有数千万用户。作为行业领先的非托管钱包,它支持以太坊、币安智能链等多种主流区块链,并与众多 DeFi 平台紧密集成。
事件发生后,Trust Wallet 官方发布安全警报,确认了浏览器扩展 2.68 版本存在安全漏洞,并紧急推出 2.69 修复版本。
币安创始人 CZ 也在社交媒体上回应,表示此次漏洞事件共计损失约 700 万美元,平台将为受影响用户全额赔付,资金“SAFU”(安全资产基金)。
02 攻击时间线:精心策划的圣诞劫案
这次安全事件的时间线揭示了攻击者的精心策划。12 月 24 日平安夜,Trust Wallet 向 Chrome Web Store 推送了扩展功能更新,多数用户在节日氛围中自动或手动完成了更新。
仅仅数小时后,12 月 25 日圣诞节早晨,美国东部时间约凌晨至上午时段,首批受害者开始发现资金异常转出。ZachXBT 在接到多起报告后,于当地时间中午在 Telegram 发出公开警报。
资金转移行为持续了超过 30 小时,从最初报告算起跨度相当长。在用户资产持续被盗期间,Trust Wallet 官方仍在发布关于节日祝福和营销活动的内容,这种明显的反差引发了社群强烈不满。
直到 12 月 26 日,也就是事件发生超过 30 小时后,Trust Wallet 代表才就浏览器扩展漏洞发出公开警告。这种处理方式引发了广泛的批评,进一步加剧了用户的担忧。
03 技术分析:浏览器扩展的致命漏洞
安全专家分析指出,这次攻击可能是通过两种途径实现的:一是更新过程中被有意植入恶意代码;二是无意间引入了可被利用的漏洞。
Chrome 扩展功能的高权限特性使其成为攻击者的理想目标。这些扩展可以读取和修改用户访问的所有网页内容,拦截网络请求,注入任意脚本,甚至访问本地存储。
慢雾 CISO 进一步指出,此次安全事件可能源于开发者设备或代码仓库遭攻击控制,目前仍有用户持续被盗。这一分析强调了供应链攻击的威胁——攻击者不需要直接入侵钱包应用本身,只需控制其依赖的某个上游环节。
安全研究显示,浏览器钱包存在三大系统性风险:自动更新机制使用户无法审查代码变更即被迫接受新版本;权限滥用可能导致合法扩展在更新中添加恶意代码;依赖链漏洞使所有下游应用都可能受到影响而用户毫不知情。
04 资金流向追踪:黑客的洗钱路径
根据 PeckShield 的监测数据,Trust Wallet 漏洞利用事件中,黑客已从受害者处盗走超过 600 万美元的加密资产。这些资金被快速自动转移到一组由攻击者控制的钱包中。
资金流向的追踪揭示了一个系统的洗钱过程:
| 资金状态 | 金额 (约合美元) | 主要流向或说明 |
|---|---|---|
| 仍留在黑客钱包 | 280 万 | 分布在 Bitcoin、EVM、Solana 网络 |
| 已转入中心化交易所 | 超过 400 万 | 流向 ChangeNOW、FixedFloat、KuCoin 等 |
详细来看,约 330 万美元被转至 ChangeNOW,约 34 万美元转至 FixedFloat,约 44.7 万美元转至 KuCoin。这种快速分散转移的模式常见于扩展功能或前端受损害件,旨在增加追查难度。
链上分析师追踪发现,一个新创建的 EVM 钱包收到的交易从零点几枚 ETH 到 7 枚 ETH 不等,其中一个地址仍持有逾 255 枚 ETH,价值约 75 万美元。
在比特币网络上,仅一个地址就通过 66 笔交易获得超过 12 枚 BTC,价值逾 100 万美元,另外一些钱包合计收到了 1.5 枚 BTC。
05 市场影响与代币表现
Trust Wallet 事件不仅影响直接受害者,也对整个加密货币市场产生了震动。作为该钱包生态系统的原生实用代币,Trust Wallet 代币(TWT)可能面临价格压力。
安全研究公司慢雾的创始人余烬进一步指出,攻击者似乎很熟悉 Trust Wallet 扩展源码,植入了 PostHog JS 来采集用户钱包各种信息。令人担忧的是,Trust Wallet 修复版本并未移除 PostHog JS 脚本。
历史数据显示,类似的安全事件通常导致相关代币价格在 24 小时内下跌 10% 至 20%,交易量激增伴随恐慌性抛售。此次事件还可能促使投资者转向更安全的资产,如比特币和以太坊。
截至 12 月 26 日,Gate 平台数据显示,市场整体呈现谨慎态度,投资者对钱包安全性问题的关注显著增加。尽管 CZ 已承诺全额赔付,但市场信心恢复仍需时间。
06 用户应对指南与安全建议
对于可能受影响的 Trust Wallet 用户,应立即采取以下措施:
第一步:检查与隔离。 检查最近 48 小时内的交易记录,特别关注未经授权的代币转出、合约互动或授权签名。如发现可疑交易,立即停用 Trust Wallet Chrome 扩展功能,前往 chrome://extensions 禁用或移除该扩展。
第二步:资产抢救。 使用 Revoke.cash 或 Etherscan 的 Token Approvals 功能,撤销所有 DeFi 授权。创建全新钱包,使用新生成的助记词,不要使用旧钱包恢复。转移剩余资产到新钱包,确保不使用可能已被监控的设备。
第三步:报告与维权。 ZachXBT 建议受害者主动联系执法部门并提供详细交易记录。虽然加密货币盗窃案破案率不高,但建立正式记录对未来的集体诉讼或保险索赔至关重要。
对于尚未受影响的 Trust Wallet 用户,预防措施包括:暂停使用 Chrome 扩展功能,改用移动应用或硬件钱包;检查并撤销不必要的 DeFi 合约授权;在情况明朗前避免签署新的交易或授权;定期备份助记词并存储在离线环境;考虑将大额资产转移到硬件钱包。
Trust Wallet 官方也已通过其支持中心概述了补偿流程,受害者可通过该渠道登记赔偿需求。ZachXBT 表示,如果确认事件责任归属于 Trust Wallet,该平台可能需要对受害用户进行赔偿。
未来展望
当超过 400 万美元的被盗资金已经流入 ChangeNOW、FixedFloat 和 KuCoin 等交易平台,这场圣诞劫案的余波仍在加密货币世界持续回荡。安全公司 PeckShield 监测数据显示,仍有约 280 万美元资金留在黑客的钱包中。
余烬,那位发现修复版本仍包含可疑脚本的安全专家,在社交媒体上敲响了持续的安全警钟。安全,在这个数字资产世界里,从来不是一次性事件,而是一场没有终点的马拉松。
Trust Wallet 的沉默与后续处理,将成为行业如何处理安全危机的风向标。而对于每一位加密资产持有者来说,这次事件无疑是一个沉重而清晰的提醒——真正的安全,始终掌握在自己手中。