2025年12月26日,Trust Wallet宣布其GoogleChrome瀏覽器擴充功能2.68版本發生安全事件,導致約700萬美元的加密資產損失。該擴充功能擁有約100萬用戶,公司計劃向受影響用戶全額退款。
根據區塊鏈安全公司 SlowMist 的分析,2.68 版本包含惡意程式碼,該程式碼解密了儲存在錢包中的助記詞,並將其發送到攻擊者的伺服器 api.metrics-trustwallet[.]com。
該網域於2025年12月8日註冊,通訊始於12月21日。據信,被盜資產影響了數百人。 Trust Wallet認為這次攻擊可能是由國家行為體實施的,而幣安聯合創始人趙長鵬則認為攻擊可能是內部人員所為。
從: 
Trust Wallet Chrome 擴充功能遭惡意程式碼攻擊,導致 700 萬美元加密貨幣損失。
【社論】
這次針對 Trust Wallet Chrome 擴充功能的安全事件凸顯了加密貨幣產業面臨的「供應鏈攻擊」這一新威脅。值得注意的是,攻擊者並未註入外部惡意 npm 套件,而是直接竄改了 Trust Wallet 的內部程式碼庫。
此次攻擊手法極為複雜。攻擊者濫用名為 PostHog 的合法分析庫,將原本用於分析使用者使用情況的工具改造為資料竊取工具。攻擊者植入了一種機制,用於解密用戶輸入的用於解鎖錢包的密碼加密的助記詞,並將其發送到攻擊者的伺服器。
該網域於12月8日註冊,實際攻擊始於12月21日,這表明攻擊者進行了長時間且精心的準備。雖然Trust Wallet曾提及國家級攻擊的可能性,但值得注意的是,幣安聯合創始人趙長鵬也暗示可能是內部人員參與其中。這是因為,如果沒有未經授權存取開發者設備或竊取部署權限,這種內部程式碼篡改是難以實現的。
瀏覽器擴充功能擁有直接存取私鑰和簽名請求的特權。與利用智慧合約漏洞的攻擊不同,錢包層級的安全漏洞繞過了鏈上保護,而且極難恢復。
這次事件表明,非託管錢包的「自我管理」優勢一旦分發管道遭到破壞,就會突然變成風險。即使是從官方商店下載的合法軟體,在更新過程中也可能被惡意程式碼感染,這一事實應該促使我們重新審視整個Web3生態系統的安全模型。
[術語]
助記短語
加密貨幣錢包的私鑰由 12 到 24 個易於記憶的英文單字組成。這組單字可以讓用戶從任何裝置恢復錢包,因此一旦洩露,資產被盜的風險極高。
非託管錢包
用戶自行管理私鑰的加密貨幣錢包。由於資產不委託給交易所等第三方,用戶必須自行承擔保護資產的風險。
PostHog
這是一個用於追蹤和分析使用者行為的開源產品分析平台,但在這個案例中,合法的工具卻被濫用了。
[參考連結]
Trust Wallet 官方網站(外部連結)
幣安集團推出的多鏈、非託管加密貨幣錢包。
SlowMist 官方網站(外部連結)
專注於區塊鏈安全並提供事件響應服務的公司。
PostHog 官方網站(外部連結)
一個開源產品分析平台和一個合法的開發工具。
幣安官方網站(外部連結)
全球最大的加密貨幣交易所之一。 Trust Wallet的母公司。
Chrome網路應用程式商店 – Trust Wallet擴充功能(外部)
Trust Wallet Chrome 擴充功能的官方發布頁面。最新版本 v2.69 現已發布。
[參考文章]
Trust Wallet 警告!透過瀏覽器擴充功能(外部連結)丟失超過 600 萬美元的 BTC、ETH 和 SOL。
據報道,損失超過600萬美元。 ZachXBT詳細介紹了最初的預警和社區的反應。
Trust Wallet Chrome 擴充功能遭駭客攻擊,造成數百萬美元損失(外部連結)
一份關於 12 月 24 日發布的受攻擊擴充功能的報告,其中包含一個釣魚網域。
Trust Wallet證實瀏覽器擴充功能事件造成700萬美元損失(外部連結)
根據官方公告,我們報告了已確認的損失金額為 700 萬美元,並承諾全額退款。
Trust Wallet瀏覽器擴充功能遭到攻擊,損失超過600萬美元(外部連結)
詳細梳理了攻擊者的準備工作和資金轉移時間線,並與以往類似案例進行了比較分析。
幣安旗下Trust Wallet用戶因Chrome擴充功能被駭客攻擊損失700萬美元(外部連結)
Chainalysis 的一份報告預測,到 2025 年,加密貨幣竊盜造成的損失將達到 67.5 億美元。
[編者註]
人們在儲存加密資產時往往會想:「因為是我自己管理的,所以很安全。」但這次事件動搖了這種想法。即使是從官方商店下載的合法更新,如果分發管道遭到入侵,也可能有安全隱患。
當您收到瀏覽器擴充功能更新通知時,通常會如何應對?我們希望這能成為一個契機,讓您重新思考加密資產以及我們日常使用的軟體的安全性。
