自 12 月 24 日起,用戶發現Trust Wallet accounts 中的資金陸續消失,涵蓋多條區塊鏈網絡,損失金額超過 600 萬美元。錢包服務商保持沉默逾 30 小時後,才承認存在瀏覽器擴充功能漏洞。
事件經過:擴充功能遭入侵
用戶投訴首先在 12 月 24 日浮現,指在將助記詞輸入 Trust Wallet 的瀏覽器擴充功能後,錢包資產被完全掏空。
這個漏洞影響到以太坊虛擬機(EVM)網絡、Bitcoin (https://yellow.com/asset/btc) 以及 Solana (https://yellow.com/asset/sol) 等多條區塊鏈上的帳戶。
加密貨幣追查者 ZachXBT 將被盜資金追蹤至多個地址。一個新建立的 EVM 錢包收到從零碎 ETH 到 7 ETH (https://yellow.com/asset/eth) 不等的交易,其中一個地址仍持有超過 255 枚 ETH,價值約 75 萬美元。
在比特幣網絡上,單一地址就透過 66 筆交易收到超過 12 BTC,金額逾 100 萬美元,另外還有錢包收到 1.5 BTC。
已確認的總損失超過 600 萬美元。資金轉移持續到 12 月 25 日晚間,從最初通報起橫跨逾 30 小時。
Also Read: Bitcoin Slips Below $87,000 As Record Stablecoin Supply Signals Sidelined Capital
為何重要:官方長時間沉默
直到 12 月 26 日,Trust Wallet 代表才就瀏覽器擴充功能漏洞發出任何公開警告。在用戶帳戶正遭受攻擊期間,該公司仍發布有關 500 美元活動及節日問候的宣傳內容。
資安專家指出,可能存在兩種情況:一是更新時刻意植入惡意程式碼,二是不小心引入可被利用的漏洞。平台其後表示瀏覽器擴充功能的缺陷已被修復,但資金轉出事實上仍持續到 12 月 25 日。
建議用戶在官方作出明確說明並完成全面安全審計前,暫時避免使用瀏覽器擴充功能。
Read Next: Crypto Liquidations Surpass $150 Billion in 2025, CoinGlass Reports