Trust Wallet 攻击计划提前数周，用户将获得全额赔偿

来源：Coindoo 原标题：Trust Wallet漏洞提前数周策划，用户将获得全额赔偿 原始链接：

与Trust Wallet相关的安全漏洞追溯到资金实际被盗的数周之前，揭示了一场缓慢酝酿的攻击，直到圣诞假期的最后阶段才浮出水面。

攻击者并非利用突发漏洞，而是耐心地在钱包的浏览器扩展流程中布置自己。事件最终导致约$7 百万美元的损失，影响了数百安装了特定版本扩展的桌面用户。

关键要点

• Trust Wallet漏洞提前数周策划，于圣诞当天触发。
• 数百桌面钱包用户被盗走约$7 百万美元。
• 此次攻击涉及在被攻破的浏览器扩展中嵌入的后门。

更新成为切入点

此次事件集中在Trust Wallet的Chrome浏览器扩展版本2.68。运行该版本的用户在不知情的情况下与被篡改的代码交互，而移动钱包未受到影响。Trust Wallet随后在检测到可疑活动后，立即敦促用户升级到新版。

此案不同寻常之处在于时间点。虽然资金在圣诞当天被盗，但区块链安全研究人员表示，漏洞早在更早之前就已准备好，暗示攻击者等待足够多的用户暴露后才触发盗窃。

后门，而非暴力破解

据SlowMist披露，嵌入扩展的恶意代码不仅能实现未经授权的转账，还会收集用户数据并悄悄将其发送到由攻击者控制的外部服务器。

SlowMist联合创始人俞贤描述了一个多步骤的操作：12月的提前准备、圣诞节前几天插入后门，以及在环境准备就绪后执行。这一系列步骤显示出对扩展架构的深入了解。

数百钱包，协同盗取

区块链调查员ZachXBT发现，受影响的钱包数百个，资金转移迅速且模式相似。交易的一致性强化了这不是用户错误或钓鱼攻击，而是大规模协调执行的漏洞利用。

虽然$7 百万美元的损失相较一些历史上的加密货币黑客事件较小，但它引人注目，因为目标是个人钱包，而非交易所，这一类别的攻击面仍在不断扩大。

赔偿与补偿

Trust Wallet由某知名交易所领导团队拥有，其领导层确认受影响的用户将获得全额赔偿。领导层承认事件的严重性，并表示损失将得到弥补，以减少对受害者的直接财务影响。

然而，这一保证并未能平息人们对被攻破的扩展程序如何首先到达用户手中的担忧。

内部访问引发关注

多位行业人士对漏洞的性质表示担忧。攻击者能够推送修改版扩展，并对代码库有深刻了解，这让一些人怀疑内部人员可能涉案。

区块链顾问连安迪公开质疑，没有内部人员的知情，这样的攻击是否可能发生。领导层也公开表示，漏洞“很可能”是内部人员所为。

对钱包用户的更广泛警示

Trust Wallet事件发生之际，整个加密安全威胁正发生更广泛的变化。据Chainalysis数据显示，除去异常大的交易所黑客事件，个人钱包的被攻破在2025年占比超过三分之一的加密损失。

随着交易所加强防御，攻击者越来越多地针对浏览器扩展和个人钱包，这些地方的更新机制和用户信任更容易被利用。

超越直接损失

虽然赔偿可能结束这次财务损失的篇章，但事件仍留下更大的疑问。被篡改的代码是如何部署的？谁有权限访问扩展的供应链？其他钱包提供商是否也存在类似风险？

目前，Trust Wallet的漏洞提醒我们，在加密领域，最危险的漏洞可能并不在区块链本身，而是在用户依赖的软件层面。