概览
Trust Wallet 已确认,通过被篡改的 Chrome 浏览器扩展更新所引发的供应链攻击,造成约 850 万美元的损失。泄露的 Google Chrome Web Store API 密钥使攻击者能够将带有恶意版本的 Trust Wallet 浏览器扩展直接上传到官方商店,从而绕过代码审查和安全检查。
攻击细节
- 攻击时间段:2025 年 12 月 24 日至 26 日
- 扩展版本:2.68
- 受害者数量:2,520 个钱包地址
- 方式:将恶意代码伪装成分析流量,指向伪造域名 metrics-trustwallet[.]com
技术分析
供应链攻击类别:密钥泄露。与典型的智能合约漏洞不同,此次事件针对分发机制。用于发布扩展的私有凭证被公开,导致在发布流水线中注入窃取数据的代码。未利用链上漏洞;最终用户通过受信任的基础设施成为攻击对象。
应对措施
- 立即撤销被泄露的 API 凭证。
- 已回滚至安全的扩展版本 2.69。
- 在部署系统上实施了增强的发布密钥管理和多因素身份认证。
- 向所有符合条件的受害者提供赔偿,覆盖全部损失。
行业影响
关键基础设施要素如分发密钥构成单点故障。基于扩展的钱包应采用严格的凭证轮换、对发行者账户的监控,以及带外代码签名以降低类似风险。安全团队必须把供应链向量置于与智能合约审计同等优先级进行考量。
用户建议
已安装版本 2.68 的用户应假设已被妥协,将资金转移到在安全设备上生成的新钱包,并重新生成助记词。必须验证扩展版本并更新到 v2.69 或更高版本。赔偿申请应通过官方 Trust Wallet 客服渠道提交。
评论 (0)