Trust Wallet sofre ataque na cadeia de abastecimento, vulnerabilidade na extensão do navegador causa perdas superiores a 6 milhões de dólares

12 月 25 日，主流加密货币钱包 Trust Wallet 确认其浏览器扩展程序 2.68 版本存在严重安全漏洞，已导致大量用户资金被盗。链上侦探 ZachXBT 分析指出，此次事件已造成至少 600 万美元的损失，涉及数百名受害者。初步调查显示，漏洞源于一次恶意的扩展程序更新，攻击者通过植入恶意代码，在用户导入助记词时窃取敏感信息并迅速清空钱包。目前，Trust Wallet 已紧急发布修复版本 2.69，并建议所有用户立即升级。此次事件再次为去中心化资产的自托管安全敲响警钟，突显了软件供应链在加密生态中的潜在风险。

事件全景：一夜之间，数百万美元资产不翼而飞

2023 年 12 月 24 日至 25 日，对于许多 Trust Wallet 用户而言是一个充满恐慌的假日。在圣诞假期期间，陆续有用户在社交媒体上报告称，他们在将助记词导入最新版 Trust Wallet 浏览器扩展程序后，钱包内的资产在短时间内被迅速转走。这一异常情况迅速引起了区块链安全社区，尤其是知名链上侦探 ZachXBT 的警觉。

通过跟踪和关联多起报告，ZachXBT 发现这些资金被盗事件存在高度一致性：均发生在用户使用浏览器扩展版本 2.68 导入钱包之后，且被盗资产涵盖比特币、以太坊、BNB 以及 Solana 链上的多种代币。资金转移速度极快，毫无延迟，呈现出典型的自动化攻击特征，而非个别用户的误操作或钓鱼事件。随着更多受害者站出来，被盗金额的预估数字从最初的 200 万美元不断攀升，最终 ZachXBT 根据公开的涉事地址统计，损失总额已超过 600 万美元，受害者可能多达数百人。

面对社区日益增长的质疑和恐慌，Trust Wallet 官方终于在 12 月 25 日发布声明，确认了安全事件的存在。官方指出，问题仅存在于浏览器扩展的 2.68 版本，移动端应用及其他版本的扩展均未受影响。团队敦促所有使用 2.68 版本的用户立即禁用该扩展，并通过官方 Chrome 网上应用店升级至已修复的 2.69 版本。尽管官方确认了漏洞并提供了解决方案，但关于漏洞的具体技术细节和根本原因，Trust Wallet 在初期并未详尽披露，这进一步引发了社区对于安全透明度的讨论。

攻击手法深度剖析：一次典型的供应链攻击

随着安全研究人员对问题版本扩展程序的代码进行逆向工程，这次攻击的狡猾面目逐渐清晰。这并非一次简单的网络钓鱼或用户设备中毒，而是一次精心策划的 软件供应链攻击。供应链攻击是指通过污染软件正常的开发、更新或分发流程，将恶意代码植入合法软件中，从而攻击所有信任并下载该软件的用户。

在此次事件中，攻击的突破口正是 Trust Wallet 浏览器扩展在 12 月 24 日发布的 2.68 版本更新。研究人员发现，该更新包中被插入了一段恶意 JavaScript 代码。这段代码被巧妙地伪装成用于收集分析数据的模块，从而逃过了可能的安全审查。其恶意逻辑具有高度的针对性：它专门监测用户“导入助记词”这一关键操作。一旦用户执行该操作，恶意代码便会悄无声息地将用户输入的完整助记词以及其他敏感钱包数据，加密发送到一个由攻击者控制的外部域名。

更令人担忧的是，这个用于接收数据的域名经过精心设计，使其看起来与 Trust Wallet 的官方基础设施相似，增加了隐蔽性。根据 whois 信息查询，该域名在攻击发生前不久才被注册，并在完成数据收集任务后迅速离线，显示了攻击者清晰的行动计划和反侦察意识。因此，用户只要在受感染的 2.68 版本扩展中导入了助记词，就等于亲手将金库的钥匙送到了攻击者手中，随后发生的资产转移便完全在攻击者的控制之下。

漏洞关键数据与攻击链条

为了更清晰地理解此次事件的严重性，我们梳理了攻击链条中的几个关键节点和数据：

漏洞引入时间：2023 年 12 月 24 日（版本 2.68 发布）

攻击活跃窗口：2023 年 12 月 24 日至 25 日

确认损失金额：超过 600 万美元（基于 ZachXBT 链上分析）

主要受影响资产：比特币、以太坊、BNB、Solana 生态代币

攻击者策略：资金通过多个中间地址快速转移、混币，增加追踪难度

官方响应时间：从社区预警到官方确认及发布修复版本（2.69），间隔约 24 小时

用户紧急应对指南与安全反思

对于已经使用过 2.68 版本扩展的用户，当务之急是立即采取行动以降低损失风险。首先，必须立即在浏览器中禁用或彻底卸载 Trust Wallet 扩展的 2.68 版本。其次，仅通过官方认证的 Chrome 网上应用店渠道，下载安装最新的 2.69 版本。Trust Wallet 特别强调，在完成升级之前，切勿再次打开浏览器扩展程序。对于移动端用户，此次事件确认不影响手机应用程序，但保持应用为最新版本永远是良好的安全习惯。

然而，对于已经在漏洞版本中导入过助记词的用户，情况则更为严峻。由于助记词可能已经泄露，基于该助记词生成的所有钱包地址都应被视为“已污染”。最彻底的安全措施是，立即将资产转移至一个由全新、从未在受影响扩展中使用过的助记词所生成的钱包地址中。这意味着用户需要创建一个全新的钱包，并将所有资产手动转移过去。这是一个繁琐但至关重要的步骤。如果发现资产已被盗，用户应通过 Trust Wallet 官方支持渠道反馈情况，并保存好所有相关的交易哈希（TxID），以便后续可能的调查或法律追索。

此次 Trust Wallet 安全事件远超普通的私钥泄露，它深刻地揭示了去中心化金融（DeFi）和自托管钱包生态中一个常被忽视的软肋：对中心化软件分发渠道的依赖。即使钱包本身是非托管、去中心化的，但其客户端软件（如浏览器扩展、手机 App）的更新机制，仍然依赖于谷歌应用商店、苹果 App Store 或开发团队的官方服务器。一旦这个环节被攻破，所有用户都将暴露在风险之下。这要求项目方必须实施极其严格的上线前代码审计和供应链安全监控，同时也提醒用户，即便使用顶级钱包，对任何突如其来的更新保持警惕、暂缓升级并观察社区反馈，也不失为一种谨慎的策略。

加密安全启示录：从个体防护到生态责任

Trust Wallet 此次事件不仅是单一产品的安全危机，更是对整个加密行业的一次压力测试。它再次强调了“不是你的密钥，就不是你的加密货币”这句格言背后的沉重责任。自托管意味着安全的主权完全掌握在用户自己手中，但与之配套的安全知识和实践却远远没有普及。用户需要认识到，助记词是资产的终极防线，在任何情况下都不应将它输入任何联网的、未经彻底验证的环境。

从更广阔的视角看，行业基础设施提供商的安全责任边界需要重新讨论。钱包作为用户进入加密世界的门户，其安全标准理应达到最高级别。这包括但不限于：采用多重签名机制管理核心代码的发布、与多家顶级安全审计公司建立长期合作进行迭代审计、建立漏洞赏金计划鼓励白帽黑客提前发现隐患，以及制定清晰、透明的安全事故应急响应与沟通流程。事后“打补丁”远远不够，必须在软件开发的整个生命周期（SDLC）中融入安全设计。

展望未来，硬件钱包与“智能合约钱包”的结合可能是更优解。硬件钱包将私钥隔离在安全的离线芯片中，从根本上杜绝了此类通过软件窃取助记词的可能；而基于智能合约的社交恢复钱包，则提供了私钥丢失或泄露后的挽回机制。技术总是在攻防中演进，每一次重大的安全事件，都应当成为推动整个行业构建更健壮、更用户友好的安全基础设施的催化剂。对于普通用户而言，在哀叹损失之余，更重要的是将此次事件作为一堂深刻的安全教育课，全面提升自己的资产管理安全等级。