事件概览
在2025年12月26日,出现了大量未授权提款的报道,涉及Trust Wallet的Chrome浏览器扩展程序,版本2.68。在一次例行更新后的数小时内,攻击者在扩展程序中部署了恶意代码,悄无声息地捕获助记词和私钥。受害者报告在多条区块链上资金突然被清空,初步的链上分析显示损失约700万美元。
攻击向量与时间轴
- 2025年12月24日:通过Chrome 网上应用商店发布版本2.68。
- 2025年12月26日,UTC 00:15:区块链侦探ZachXBT在观察到来自不同钱包的资金快速转移后向社区发出警报。
- 2025年12月26日,UTC 02:00:PeckShield 确信盗出超过600万美元,其中约40%的被盗资产通过集中交易所洗钱。
- 2025年12月26日,UTC 04:30:Trust Wallet 发布公告,禁用版本2.68并升级到修补版本2.69。
- 2025年12月26日,UTC 07:42:Trust Wallet 确认总损失约700万美元,并承诺对用户进行全面赔偿。
技术分析
攻击者通过在扩展核心脚本中注入 PostHog JS 监控工具,嵌入了供应链后门。这使得对解密后的助记词和私钥材料的实时外泄到一个恶意端点。链上聚类显示,被盗资产被分散到比特币、以太坊、Solana 及其他兼容 EVM 的代币上,收益聚集到一小组提现地址后再分发到交易所兑换成法币。
缓解与应对
Trust Wallet 发布了版本2.69,已移除恶意代码并轮换了在扩展更新中使用的关键签名。受影响的用户被敦促撤销对扩展的权限,将剩余资产转移到新的钱包,并在可用处启用两步验证。币安创始人赵长鹏(CZ)公开保证在 SAFU 基金下进行赔偿。独立安全公司正在对代码库进行审计,并监控是否存在残留漏洞。
更广泛的影响
此次事件凸显了基于浏览器的钱包扩展的风险上升。与硬件钱包或完全独立的桌面客户端不同,浏览器扩展在浏览器的安全上下文中运行,增加了攻击面。专家建议使用硬件钱包或账户抽象解决方案,这些方案能强制交易延迟并在代码层变动时需要用户明确授权。
关键要点
- 供应链被攻破可以直接将恶意代码注入到合法的软件更新中。
- 快速的公告和补丁发布,加上公开的赔偿保障,对控制损失至关重要。
- 浏览器扩展环境仍然脆弱;对于大额资产,用户应考虑硬件钱包或多签(multisig)替代方案。
评论 (0)