用户资金自 12 月 24 日起开始从 Trust Wallet accounts 中莫名消失,损失跨多条区块链网络累计超过 600 万美元。钱包提供方在超过 30 小时内保持沉默,之后才承认存在浏览器扩展漏洞。
发生了什么:扩展被攻破
用户投诉首先在 12 月 24 日出现,称在将助记词输入 Trust Wallet 浏览器扩展后,钱包资金被完全转空。
该漏洞影响了以太坊虚拟机(EVM)网络、Bitcoin (https://yellow.com/asset/btc) 和 Solana (https://yellow.com/asset/sol) 等多条区块链上的账户。
加密货币链上分析师 ZachXBT 将被盗资金追踪至多个地址。一个新创建的 EVM 钱包收到的交易从零点几枚 ETH 到 7 枚 ETH (https://yellow.com/asset/eth) 不等,其中单个地址仍持有逾 255 枚 ETH,价值约 75 万美元。
在比特币网络上,仅一个地址就通过 66 笔交易获得超过 12 枚 BTC,价值逾 100 万美元,另外一些钱包合计收到了 1.5 枚 BTC。
已确认总损失超过 600 万美元。资金转移一直持续到 12 月 25 日晚间,从最初报告算起跨度超过 30 小时。
另见: Bitcoin Slips Below $87,000 As Record Stablecoin Supply Signals Sidelined Capital
影响何在:长时间沉默
直至 12 月 26 日,Trust Wallet 代表才就浏览器扩展漏洞发出公开警告。在用户账户遭持续盗用期间,该公司仍在发布关于 500 美元活动和节日祝福的宣传内容。
安全专家指出可能存在两种情况:一是更新过程中被有意植入恶意代码,二是无意间引入了可被利用的漏洞。平台随后表示浏览器扩展中的缺陷已被修复,但资金转移一直持续到 12 月 25 日。
建议用户在官方给出明确说明并完成全面安全审计之前,避免继续使用该浏览器扩展。
下篇阅读: Crypto Liquidations Surpass $150 Billion in 2025, CoinGlass Reports