2025 年 12 月 25 日圣诞节当天加密货币社区突发重大安全事件:热门非托管钱包 Trust Wallet 的浏览器扩展版本 2.68 出现严重漏洞,导致数百名用户资金被盗。链上调查员 ZachXBT 率先披露,初步统计损失超过 600 万美元,涉及 BTC、ETH、SOL 等多链资产。用户报告称,在更新扩展或导入种子短语后,钱包资金迅速被转移至未知地址。
Trust Wallet 官方迅速回应
确认安全事件仅限于浏览器扩展的 2.68 版本,并紧急发布 2.69 版本修复漏洞。官方建议受影响用户立即禁用旧版本扩展,并通过 Chrome 官方商店升级。移动端 App 用户及其他扩展版本未受影响。
12 月 26 日Binance 创始人 CZ(赵长鹏)在 X 平台发文更新事件进展:目前统计损失约 700 万美元,Trust Wallet 将全额承担所有损失,用户资金“SAFU”(安全)。CZ 表示,团队正在调查黑客如何注入恶意代码到扩展更新中,这疑似一起供应链攻击。黑客通过伪装成分析脚本的恶意 JS 文件窃取用户数据,导致资金被盗。
此事件暴露了浏览器扩展钱包的潜在风险:即使是官方更新渠道,也可能被供应链攻击利用。业内专家提醒,用户应优先使用硬件钱包或移动端,避免在浏览器环境中导入种子短语。同时,定期检查权限撤销(如使用 Revoke.cash)并验证更新来源。
尽管损失规模不小
但 Trust Wallet 快速承诺全额赔偿,体现了项目方的责任感,有助于缓解社区恐慌。事件也提醒整个加密行业,加强软件供应链安全审核至关重要。
这次 Trust Wallet 事件虽造成约 700 万美元损失,但并非钱包核心协议漏洞,而是特定浏览器扩展版本的供应链攻击。CZ 和团队的快速响应与全额赔偿承诺,体现了成熟项目的危机处理能力,这不仅保护了用户信心,也强化了“用户资金 SAFU”的行业标准。长远看,此类事件将推动钱包开发者提升更新机制的安全性,最终惠及整个生态。
发布者:BlockSky,转载请注明出处:https://www.blocksky.info/post/4528