Trust Wallet 圣诞劫案！ZachXBT 警告 Chrome 更新后集体被盗

2025-12-26 02:14:13

12 月 25 日圣诞节当天，多名 Trust Wallet 用户醒来发现钱包资金未经授权就被转走，损失金额不明。区块链调查员 ZachXBT 在 Telegram 群组紧急发出警报，指出这些盗窃事件发生在 Trust Wallet Chrome 扩展功能 12 月 24 日更新后，时间点高度可疑。

圣诞攻击时间轴：24 小时内的完美风暴

事件时间线显示攻击者精心策划。12 月 24 日平安夜，Trust Wallet 向 Chrome Web Store 推送扩展功能更新，多数用户在节日氛围中自动或手动更新。12 月 25 日圣诞节清晨，美国东部时间约凌晨至上午时段，首批受害者发现资金异常转出。ZachXBT 在接到多起报告后，于当地时间中午在 Telegram 发出公开警报，呼吁 Trust Wallet 用户立即检查钱包。

节日时机的选择并非巧合。圣诞节期间，开发团队人力减少，客服响应延迟，用户警觉性降低，这为攻击者创造了黄金窗口。类似策略在 2022 年 Slope 钱包攻击中也曾出现，当时攻击者利用周末时段盗取超过 8,000 个 Solana 钱包的资金。Trust Wallet 此次沉默更加剧了恐慌，用户在社交媒体上抱怨无法联系官方获得明确回应。

ZachXBT 在警报中特别强调「确切根本原因尚未确定」，但将矛头指向 Chrome 扩展功能更新。这个细节至关重要，因为它将调查方向从用户个人失误转向系统性漏洞。如果证实是扩展功能本身的问题，Trust Wallet 将面临巨大法律和声誉风险。目前，ZachXBT 正在收集受害钱包地址，试图追踪赃款流向并识别攻击模式。

Chrome 扩展功能：加密钱包的特洛伊木马

浏览器扩展功能的高权限特性使其成为攻击者的理想目标。Chrome 扩展功能可以读取和修改用户访问的所有网页内容，拦截网络请求，注入任意脚本，甚至访问本地存储。对于加密钱包扩展功能而言，这些权限意味着它们可以：捕获用户输入的助记词和私钥，修改交易目标地址和金额，拦截签名请求并替换交易数据，以及访问存储在浏览器中的加密会话。

安全研究人员多次警告，一次恶意更新或一个被篡改的依赖项都可能使数百万用户面临风险。2023 年 11 月，一个名为「Ledger Connect Kit」的流行库被攻击者入侵，导致多个 DeFi 前端受到影响，用户损失超过 48 万美元。这次攻击证明了供应链攻击的威力：攻击者不需要直接入侵钱包应用，只需控制其依赖的某个上游库。

浏览器钱包的三大系统性风险

自动更新机制：扩展功能默认自动更新，用户无法审查代码变更即被迫接受新版本

权限滥用：合法扩展功能可能在更新中添加恶意代码，利用已授予的广泛权限窃取资产

依赖链漏洞：钱包依赖的第三方库若被攻陷，将影响所有下游应用而用户毫不知情

近几个月已出现多起类似威胁。安全公司报告显示，一些虚假钱包扩展程序专门设计用于窃取助记词，攻击者利用这些词组完全重建钱包并在后续盗取资金。更隐蔽的攻击来自恶意交易「助手」扩展功能，它们悄悄修改交易指令，每次用户批准兑换时窃取少量加密货币，因金额微小往往不被察觉。

受害者应对与资产抢救指南

对于怀疑自己受影响的 Trust Wallet 用户，时间至关重要。首要任务是立即检查最近 48 小时的交易记录，特别注意任何未经授权的代币转出、合约互动或授权签名。若发现可疑交易，应立即采取以下行动：停用 Trust Wallet Chrome 扩展功能，前往 chrome://extensions 禁用或移除；撤销所有 DeFi 授权，使用 Revoke.cash 或 Etherscan 的 Token Approvals 功能；创建全新钱包，使用新生成的助记词而非旧钱包恢复；转移剩余资产到新钱包，但确保不使用可能已被监控的设备。

ZachXBT 建议受害者主动联系执法部门并提供详细交易记录。虽然加密货币盗窃案破案率不高，但建立正式记录对于未来可能的集体诉讼或保险索赔至关重要。同时，用户应在 ZachXBT 的 Telegram 群组或相关社区论坛报告受害情况，提供被盗金额和钱包地址，帮助调查人员建立完整攻击图谱。

对于尚未受影响的 Trust Wallet 用户，预防措施包括：暂停使用 Chrome 扩展功能，改用移动应用或硬件钱包；检查并撤销不必要的 DeFi 合约授权；在情况明朗前避免签署新的交易或授权；定期备份助记词并存储在离线环境；考虑将大额资产转移到硬件钱包如 Ledger 或 Trezor。