网络犯罪分子攻陷了 2025 年 12 月 24 日发布的 Trust Wallet 谷歌浏览器插件 2.68.0 版本,导致该钱包用户蒙受超 700 万美元的巨额损失。
此次攻击仅针对桌面端用户,恶意更新程序发布数小时内,数百个钱包便被洗劫一空。
区块链调查员扎克・XBT(ZachXBT)率先在社交平台 X 上披露了这一事件,他指出,用户在使用遭攻陷的插件后,受影响地址的未授权资金转移量随即出现可疑激增。
受害者从圣诞夜开始陆续上报失窃情况,还分享了截图,显示钱包中的以太坊、比特币、索拉纳币和币安币等资产已被悉数转走。
一名受害者称,他通过该插件完成常规授权操作后,短短几分钟内就损失了 30 万美元,被盗资产被转移至多个由攻击者控制的地址。
安全公司派盾(PeckShield)起初估算损失金额为 600 万美元,但 Trust Wallet 后续证实,此次事件波及数百个遭攻陷的钱包,被盗资金总额约达 700 万美元。
安全研究人员发现,一款名为 4482.js 的 JavaScript 文件中嵌入了恶意代码,该文件伪装成了正规的 PostHog 数据分析软件。
这段经过混淆处理的恶意脚本会在用户导入助记词时被激活,暗中将敏感的钱包凭证和恢复助记词发送至api.metrics-trustwallet.com这个欺诈域名。该域名在攻击发生前数日才完成注册,其设计目的就是模仿 Trust Wallet 的官方基础设施。
此次攻击体现出攻击者的精密协同性,威胁行为者同时还通过fix-trustwallet.com等域名发起钓鱼攻击。
这些欺诈网站利用用户的恐慌心理,提供虚假的 “漏洞修复方案”,诱骗用户输入助记词,进而实现对钱包的即时洗劫。
Trust Wallet 于 12 月 25 日通过社交平台 X 承认了此次安全漏洞事件,并证实受影响的仅有 2.68.0 版本。
该公司要求用户立即关闭这款插件,并更新至 2.69 版本。
Trust Wallet 承诺对受害者进行全额赔付,同时警告用户切勿理会那些声称提供技术支持的非官方私信。
币安联合创始人赵长鹏暗示,此次事件可能涉及内部人员参与,这一说法也引发了外界对该公司内部安全管控机制的质疑。
该事件暴露出加密货币钱包插件存在的重大供应链漏洞 —— 自动更新功能可能会绕过用户的人工验证环节。
网络安全专家建议,受影响用户应创建新钱包,并对今后所有的插件更新进行严格核查。
发表评论
您还未登录,请先登录。
登录