恶意脚本背后的风险：隐藏代码如何在Trust Wallet中捕获私钥

什么是脚本，为什么Trust Wallet的Chrome扩展遭遇了恶意代码攻击？2023年12月24日发布的v2.68版本包含了可疑的JavaScript逻辑，旨在将钱包秘密信息传输到外部服务器。调查人员在受影响的包中发现了名为“4482.js”的文件，确认该脚本采用混淆手段以规避检测。

事件影响范围：确认损失6到7百万美元

Trust Wallet随后确认，在此次事件中大约700万美元被盗。公司迅速做出反应，于12月25日发布了v2.69版本作为补救措施。据受害者和调查人员的报告，盗窃行为在v2.68发布后数小时开始出现，公众也开始关注潜在的风险范围。

Chrome Web Store中的扩展页面显示大约有1,000,000名注册用户，这为潜在曝光设定了理论上限。然而，实际漏洞取决于有多少用户在受感染版本激活期间输入了助记词。

谁面临实际风险：助记词的重要性

调查人员强调，最大风险集中在在安装v2.68后导入或输入助记词的用户。助记词代表主密钥，能够解锁所有当前和未来由其派生的地址，因此成为攻击者的首要目标。

恶意脚本专门设计用来捕获此类敏感数据。虽然扩展的其他组件（如移动版本和其他发行版）未受到影响，但Chrome浏览器版本在漏洞期间集中暴露了全部风险。

恢复步骤：仅更新不足以保障资产安全，如果助记词已被泄露

这一点对用户尤为关键。升级到v2.69可以删除脚本中的恶意逻辑，但不能自动保护资产，如果助记词已被传输给攻击者。

对于在v2.68安装期间输入助记词的用户，标准操作步骤包括：

• 使用全新助记词创建新钱包
• 将所有资金转入新派生的地址
• 在区块链上撤销所有代币授权
• 将管理助记词的设备视为潜在受损，待验证后再行处理

这些操作涉及较高的操作成本，包括多链交易的Gas费，以及在迁移期间资产桥接的相关风险。

扩展的信任模型：生态系统安全的薄弱环节

浏览器扩展具有特殊且脆弱的地位：它们可以访问用户验证交易的界面。学术研究表明，恶意脚本可以规避Chrome Web Store的自动审查，检测系统的效果会随着攻击者策略的演变而下降。

此次事件强调了加强完整性控制的必要性，包括可重现的构建、分割密钥签名以及应急情况下的明确回滚方案。

事件演变的可能场景：最终影响的预测

总损失金额仍存在变数，取决于后续发现的受害者和链上地址的重新分类。调查人员预测未来2到8周的几种可能场景：

关键变量包括：是否仅在v2.68期间捕获了助记词、是否发现其他暴露途径，以及阻止假冒域名的速度。

市场反应与即时建议

Trust Wallet Token $25M TWT$25M 的价格收盘为$0.87，较24小时前下跌2.24%，盘中最高为$0.90，最低为$0.86。市场反应表现为适度波动，没有出现单向的明显反弹。

用户建议：

1. 立即禁用仍安装的v2.68扩展
2. 从Chrome Web Store官方渠道升级到v2.69
3. 判断自己是否在v2.68激活期间输入了助记词——这是关键问题
4. 如果是：将资金迁移到新钱包；如果否：仅升级即可
5. 忽略非官方渠道的任何通知，因为在补救期间，骗子试图冒充官方团队进行诈骗

Trust Wallet已确认将为所有受影响用户提供赔偿，并将很快公布详细的恢复流程。