Trust Wallet 通过 Chrome 扩展遭遇严重安全漏洞

在其Chrome浏览器扩展更新后，Trust Wallet用户遭遇重大安全漏洞。版本2.68.0推出后，用户报告在受感染的扩展中输入恢复短语后，币资产迅速被转走——几分钟内资金就被大量转移。此次安全漏洞影响了比特币、以太坊和BNB的余额，初步估计损失达数百万美元。这一事件再次引发了对基于浏览器的加密货币存储方案固有风险的严重担忧。

协调攻击导致多个钱包被清空

区块链研究员ZachXBT发现了可疑的交易模式，揭示了此次漏洞的有组织性质。扩展更新后，许多Trust Wallet地址出现了异常的快速资金流出。攻击者没有逐步转移资金，而是在几秒钟内通过激进的单笔交易，将全部余额转入中转地址。

区块链分析显示了明确的作案手法：攻击者针对特定资产（比特币、以太坊和BNB），将每个钱包完全清空，然后通过多层地址转移被盗资金。这些交易模式在数十个受损钱包中高度一致，强烈表明这是一次有组织、系统性的攻击，而非孤立事件。

此次安全漏洞尤为令人担忧的是其执行速度。一旦用户在恶意扩展中输入种子短语，钱包即被几乎瞬间攻破，几乎没有机会进行干预或被监控系统检测到。

损失已追踪至430万美元及以上

区块链公开数据追踪显示，至少有430万美元的加密货币从受损钱包转移到与攻击者相关的可疑地址。然而，这一数字仅包括公开追踪的交易和已报告的事件。安全研究人员认为，实际的损失规模可能远远超过此数，尚有未披露的用户未报告其钱包被攻破的情况。

ZachXBT还识别了几个关键的中转地址，这些地址在被盗资金积累后再被进一步分散。分析显示，这些地址从多个受损钱包中提取资产，并展现出几乎相同的交易签名，进一步证实了此次攻击背后存在集中协调的证据。

迅速应对与修复措施

鉴于事态的严重性，Trust Wallet开发团队迅速采取行动遏制漏洞。2025年12月26日，他们发布了官方声明，明确指出安全漏洞仅影响Chrome扩展版本2.68.0。团队立即建议用户禁用受感染的扩展，并升级到包含关键安全补丁的2.69版本。

官方披露承认了此次安全漏洞的严重性，同时强调正在进行积极调查，以查明根本原因并防止类似事件再次发生。快速推出补丁——从2.68.0升级到2.69——是限制进一步损失的及时措施。

此次事件凸显了基于浏览器的加密货币管理方案固有的持续风险。虽然浏览器扩展提供了便利，但相较硬件钱包或离线存储方案，它们的攻击面更大。随着加密行业的不断成熟，Trust Wallet的安全漏洞再次提醒我们，在管理数字资产时，采用多重安全措施、权衡便利性与保护之间的关系至关重要。