事件概览
2025年12月26日,出现对Trust Wallet Chrome浏览器扩展程序2.68版本的大规模未授权提款的报道。在一次例行更新后的数小时内,攻击者在扩展中部署恶意代码,悄无声息地截获种子短语和私钥。受害者报告在多个链上资金突然被提取,初步链上分析显示损失约700万美元。
攻击向量与时间线
- 2025年12月24日:通过Chrome网上应用店发布的2.68版本。
- 2025年12月26日 00:15 UTC:区块链侦探ZachXBT观察到来自多钱包的资金快速移动后向社区发出警报。
- 2025年12月26日 02:00 UTC:PeckShield确认窃取超过600万美元,其中约40%的被盗资产通过中心化交易所洗钱。
- 2025年12月26日 04:30 UTC:Trust Wallet发出停用2.68版本并升级到打补丁版本2.69的通知。
- 2025年12月26日 07:42 UTC:Trust Wallet确认总损失约700万美元,并承诺对用户进行全部赔偿。
技术分析
攻击者通过在扩展核心脚本中注入PostHog JS监控工具,嵌入供应链后门。这使得对解密后的种子短语和私钥材料进行实时外泄到一个恶意端点成为可能。链上聚类显示,被窃资产在比特币、以太坊、索拉纳以及其他EVM兼容代币之间分散,收益汇聚到少量提现地址后再分发至交易所以兑换成法币。
缓解与响应
Trust Wallet发布了2.69版本,移除了恶意代码并轮换了在扩展更新中使用的关键签名。受影响的用户被敦促撤销扩展权限、将剩余资产转移到新的钱包,并在可用情况下启用两因素认证。币安创始人赵长鹏(CZ)公开在SAFU基金下给予赔偿担保。独立安全公司正在对代码库进行审计并监控残留漏洞。
更广泛的影响
此事件凸显了基于浏览器的钱包扩展所带来的更高风险。与硬件钱包或完全独立的桌面客户端不同,浏览器扩展在浏览器的安全上下文中运行,攻击面更大。专家建议使用硬件钱包或账户抽象解决方案,强制执行交易延迟并在代码级变更前获得明确的用户批准。
要点
- 供应链被入侵可能直接向合法软件更新注入恶意代码。
- 快速发布警报和修补程序,加上公开的赔偿承诺,对损害控制至关重要。
- 浏览器扩展环境仍然脆弱;对于大额资产,用户应考虑使用硬件钱包或多签等替代方案。
评论 (0)