Trust Wallet 遭聖誕劫案：黑客利用擴展漏洞盜取超 600 萬美元

一次看似常規的 Chrome 擴展更新，成了一場加密資產大劫案的起點。12 月 24 日，Trust Wallet 向 Chrome 應用商店推送了擴展功能的更新，版本號為 2.68。

12 月 25 日聖誕節當天，首批受害者醒來發現錢包資金未經授權被轉走。區塊鏈偵探 ZachXBT 迅速介入調查，並在 Telegram 群組發出緊急警報。

隨著調查的深入，事件的全貌逐漸浮出水面：受影響的僅限瀏覽器擴展的 2.68 版本，移動端及其他版本不受影響。

01 事件概述：聖誕安全事件與多方反應

2025 年 12 月 25 日，一個本該充滿歡樂的聖誕節，卻成了數百名 Trust Wallet 用戶的噩夢。鏈上偵探 ZachXBT 發出警報，指出 Trust Wallet 平台數百名用戶遭遇資金被盜，損失金額已至少達到 600 萬美元。

Trust Wallet 是幣安旗下的加密貨幣錢包，聲稱擁有數千萬用戶。作為行業領先的非托管錢包，它支持以太坊、幣安智能鏈等多種主流區塊鏈，並與眾多 DeFi 平台緊密整合。

事件發生後，Trust Wallet 官方發布安全警報，確認了瀏覽器擴展 2.68 版本存在安全漏洞，並緊急推出 2.69 修復版本。

幣安創始人 CZ 也在社交媒體上回應，表示此次漏洞事件共計損失約 700 萬美元，平台將為受影響用戶全額賠付，資金“SAFU”（安全資產基金）。

02 攻擊時間線：精心策劃的聖誕劫案

這次安全事件的時間線揭示了攻擊者的精心策劃。12 月 24 日平安夜，Trust Wallet 向 Chrome Web Store 推送了擴展功能更新，多數用戶在節日氛圍中自動或手動完成了更新。

僅僅數小時後，12 月 25 日聖誕節早晨，美國東部時間約凌晨至上午時段，首批受害者開始發現資金異常轉出。ZachXBT 在接到多起報告後，于當地時間中午在 Telegram 發出公開警報。

資金轉移行為持續了超過 30 小時，從最初報告算起跨度相當長。在用戶資產持續被盜期間，Trust Wallet 官方仍在發布關於節日祝福和行銷活動的內容，這種明顯的反差引發了社群強烈不滿。

直到 12 月 26 日，也就是事件發生超過 30 小時後，Trust Wallet 代表才就瀏覽器擴展漏洞發出公開警告。這種處理方式引發了廣泛的批評，進一步加劇了用戶的擔憂。

03 技術分析：瀏覽器擴展的致命漏洞

安全專家分析指出，這次攻擊可能是通過兩種途徑實現的：一是更新過程中被有意植入惡意程式碼；二是無意間引入了可被利用的漏洞。

Chrome 擴展功能的高權限特性使其成為攻擊者的理想目標。這些擴展可以讀取和修改用戶訪問的所有網頁內容，攔截網路請求，注入任意腳本，甚至存取本地存儲。

慢雾 CISO 進一步指出，此次安全事件可能源於開發者設備或程式碼倉庫遭攻擊控制，目前仍有用戶持續被盜。這一分析強調了供應鏈攻擊的威脅——攻擊者不需要直接入侵錢包應用本身，只需控制其依賴的某個上游環節。

安全研究顯示，瀏覽器錢包存在三大系統性風險：自動更新機制使用戶無法審查程式碼變更即被迫接受新版本；權限濫用可能導致合法擴展在更新中加入惡意程式碼；依賴鏈漏洞使所有下游應用都可能受到影響而用戶毫不知情。

04 資金流向追蹤：黑客的洗錢路徑

根據 PeckShield 的監測數據，Trust Wallet 漏洞利用事件中，黑客已從受害者處盜走超過 600 萬美元的加密資產。這些資金被快速自動轉移到一組由攻擊者控制的錢包中。

資金流向的追蹤揭示了一個系統的洗錢過程：

詳細來看，約 330 萬美元被轉至 ChangeNOW，約 34 萬美元轉至 FixedFloat，約 44.7 萬美元轉至 KuCoin。這種快速分散轉移的模式常見於擴展功能或前端受損害件，旨在增加追查難度。

鏈上分析師追蹤發現，一個新建立的 EVM 錢包收到的交易從零點幾枚 ETH 到 7 枚 ETH 不等，其中一個地址仍持有逾 255 枚 ETH，價值約 75 萬美元。

在比特幣網路上，僅一個地址就通過 66 筆交易獲得超過 12 枚 BTC，價值逾 100 萬美元，另外一些錢包合計收到了 1.5 枚 BTC。

05 市場影響與代幣表現

Trust Wallet 事件不僅影響直接受害者，也對整個加密貨幣市場產生了震動。作為該錢包生態系的原生實用代幣，Trust Wallet 代幣（TWT）可能面臨價格壓力。

安全研究公司慢雾的創始人余烬進一步指出，攻擊者似乎很熟悉 Trust Wallet 擴展原始碼，植入了 PostHog JS 來蒐集用戶錢包各種資訊。令人擔憂的是，Trust Wallet 修復版本並未移除 PostHog JS 腳本。

歷史數據顯示，類似的安全事件通常導致相關代幣價格在 24 小時內下跌 10% 至 20%，交易量激增伴隨恐慌性拋售。此次事件還可能促使投資者轉向更安全的資產，如比特幣和以太坊。

截至 12 月 26 日，Gate 平台數據顯示，市場整體呈現謹慎態度，投資者對錢包安全性問題的關注顯著增加。儘管 CZ 已承諾全額賠付，但市場信心恢復仍需時間。

06 用戶應對指南與安全建議

對於可能受影響的 Trust Wallet 用戶，應立即採取以下措施：

第一步：檢查與隔離。 檢查最近 48 小時內的交易記錄，特別關注未經授權的代幣轉出、合約互動或授權簽名。如發現可疑交易，立即停用 Trust Wallet Chrome 擴展功能，前往 chrome://extensions 禁用或移除該擴展。

第二步：資產搶救。 使用 Revoke.cash 或 Etherscan 的 Token Approvals 功能，撤銷所有 DeFi 授權。建立全新錢包，使用新生成的助記詞，不要使用舊錢包恢復。轉移剩餘資產到新錢包，確保不使用可能已被監控的設備。

第三步：報告與維權。 ZachXBT 建議受害者主動聯繫執法部門並提供詳細交易記錄。雖然加密貨幣盜竊案破案率不高，但建立正式記錄對未來的集體訴訟或保險索賠至關重要。

對於尚未受影響的 Trust Wallet 用戶，預防措施包括：暫停使用 Chrome 擴展功能，改用移動應用或硬體錢包；檢查並撤銷不必要的 DeFi 合約授權；在情況明朗前避免簽署新的交易或授權；定期備份助記詞並存放在離線環境；考慮將大額資產轉移到硬體錢包。

Trust Wallet 官方也已通過其支援中心概述了賠償流程，受害者可通過該渠道登記賠償需求。ZachXBT 表示，如果確認事件責任歸屬於 Trust Wallet，該平台可能需要對受害用戶進行賠償。

未來展望

當超過 400 萬美元的被盜資金已經流入 ChangeNOW、FixedFloat 和 KuCoin 等交易平台，這場聖誕劫案的餘波仍在加密貨幣世界持續回蕩。安全公司 PeckShield 監測數據顯示，仍有約 280 萬美元資金留在黑客的錢包中。

余烬，那位發現修復版本仍包含可疑腳本的安全專家，在社交媒體上敲響了持續的安全警鐘。安全，在這個數字資產世界裡，從來不是一次性事件，而是一場沒有終點的馬拉松。

Trust Wallet 的沉默與後續處理，將成為行業如何處理安全危機的風向標。而對每一位加密資產持有者來說，這次事件無疑是一個沉重而清晰的提醒——真正的安全，始終掌握在自己手中。