12月25日,多名加密货币用户报告其 Trust Wallet 浏览器扩展出现快速且未授权的提现,引发了社区的即时警报。最初的报道来自链上调查员 ZachXBT,他在两小时内标记了跨越 EVM 兼容链、比特币和 Solana 的数百个被侵入地址。报告的损失突然激增——初步估计超过600万美元——在 Telegram 和 X 上发出紧急警告,敦促所有用户撤销授权并提取资金。
社区研究人员很快将 Trust Wallet Chrome 扩展程序版本 2.68 识别为共同因素。对扩展的 JavaScript 文件的调查显示,在“4482.js”中存在未在官方发行说明中提及的未解释新增内容。伪装成分析功能的可疑代码段实际上能够捕获助记词,将其传送至 metrics-trustwallet[.]com,并在导入助记词时自动清空钱包。该恶意载荷仅在钱包导入事件上激活,因而未被及早发现。
随后沿链追踪分析显示,超过600万美元的被盗资产通过隐私混合器和混淆服务流转,凸显攻击者迅速洗钱的意图。受害地址覆盖内部多签账户、高价值个人钱包以及小型零售交易者,凸显浏览器钱包对供应链攻击的脆弱性。也观察到来自 Tornado Cash 和 Wasabi Wallet 等主要混币器的清洗交易,显示出协同洗钱策略。
在公开审查后,Trust Wallet 发布官方公告,承认此次安全事件仅影响扩展版本 2.68。公告建议立即禁用该扩展,并从官方 Chrome 网上应用店升级到 2.69 版本,避免在浏览器环境中导入助记词。移动端和非 Chrome 用户被确认不受影响。Trust Wallet 强调此次漏洞并未影响其核心移动应用或链上智能合约。
此事件重新点燃了关于自我托管风险与运营安全的辩论。专家重申,密钥管理环境与密码学协议同样关键,供应链完整性必须由钱包提供商与浏览器市场共同维护。作为直接的预防措施,安全研究人员建议受影响用户将剩余资产迁移到在安全、与互联网隔离的设备上创建的新钱包,撤销所有 dApp 授权,并监控网络活动以防止可疑互动。
事件发生后,对标准化扩展审核、透明变更日志以及独立审计的呼声日益高涨。区块链安全公司与开源审计团体正在合作开发工具,以检测流行钱包扩展中的异常客户端代码。目前,Trust Wallet 事件成为供应链脆弱性如何削弱自主管理资产承诺的一个鲜明例子,促使社区在钱包设计与分发中优先考虑端到端的安全。
评论 (0)