Trust Wallet的重大安全漏洞暴露了Chrome扩展程序的脆弱性

影响Trust Wallet Chrome扩展的重大安全漏洞在加密货币社区引发了震动。此次安全漏洞影响了版本2.68.0的浏览器扩展用户，导致广泛的账户被攻破和资产大量损失。导入助记词到受影响扩展版本的用户在几分钟内发现其比特币、以太坊和BNB的持有资产被完全清空——这一令人震惊的发现重新点燃了关于基于扩展的钱包解决方案可靠性的紧迫讨论。

安全漏洞的发生过程

此次攻击操作精准且迅速。当用户在易受攻击的版本2.68.0扩展中输入恢复助记词时，应用程序允许攻击者未经授权访问其钱包。不同于可能引发用户警觉的逐步转账，此次安全漏洞策划了激进的单笔交易转移，迅速清空所有资产。速度与协调性表明这是自动化攻击基础设施，而非手动利用。

区块链研究员ZachXBT以追踪复杂的加密货币盗窃方案闻名，他记录了多个被攻破钱包的攻击模式。他的分析显示，在成功攻破后几秒钟内，来自不同钱包地址的资金被系统性地转移到由攻击者控制的中转地址。这种协调的资金流动在数百个实例中反复出现，显示出这是一次组织良好的行动，而非孤立事件。

通过区块链数据追踪攻击

在发现安全漏洞后，ZachXBT追踪了可疑的资金流动。数据显示，受影响的Trust Wallet地址中的资产被迅速集中，通过多个中转地址再进行最终分配。比特币、以太坊和BNB的持有资产被无差别地攻击，表明攻击者对流动性更感兴趣，而非特定的加密货币。

目前的区块链分析显示，至少有430万美元的加密资产与此次安全事件直接相关。然而，这一数字仅代表已公开披露的用户报告的损失。实际的财务影响可能远远超过此数，因为许多受害者可能未立即披露其被攻破的情况或未进行全面的损失评估。

安全研究人员识别出的重复交易模式显示出一个协调的攻击基础设施——多个钱包表现出相同的攻破特征和资金流动行为。这些模式强烈表明，这次大规模安全漏洞由单一的复杂攻击行动所致，而非多个独立事件。

官方回应与调查

2025年12月26日，Trust Wallet发布了官方声明，确认此次安全漏洞并提供了立即的修复指导。团队确认漏洞仅影响浏览器扩展版本2.68.0，未影响其他Trust Wallet平台或移动应用。用户被指示立即禁用受影响的扩展，并升级到包含必要安全补丁的版本2.69。

Trust Wallet开发团队强调，正在进行全面调查，以确定漏洞的全部范围并识别其他潜在漏洞。快速的确认和版本发布显示了他们应对威胁的决心，尽管用户信心已受到一定影响。

理解风险：浏览器扩展的漏洞

此次安全事件凸显了基于浏览器的加密货币管理面临的根本挑战。浏览器扩展具有较高的系统权限，能直接访问用户的加密材料。不同于隔离的移动环境，浏览器扩展共享用户的浏览会话，容易受到各种攻击手段——无论是被篡改的包分发、更新中的中间人攻击，还是浏览器底层漏洞的利用。

此次事件提醒用户，将恢复助记词存储在扩展钱包中存在特殊风险。一旦用户在受损应用中输入助记词，安全漏洞就已完成——攻击者获得了整个钱包的密钥，可以在未授权的情况下转移所有资产。

加密货币用户的保护措施

针对这次安全事件，安全专家建议采取以下保护措施：

• 验证扩展来源：仅从官方供应商网站或验证的应用商店下载浏览器扩展，避免第三方仓库。
• 关注更新频率：警惕异常频繁的更新，尤其是小版本变动，可能暗示未披露的安全补丁。
• 使用硬件钱包存储：将大部分加密资产存放在离线隔离的硬件钱包中，避免软件漏洞风险。
• 资金分隔：仅在浏览器钱包中存放交易金额，长期资产应存放在冷钱包中。
• 启用通知：开启钱包活动通知，及时检测未授权交易，防止损失扩大。

Trust Wallet的安全漏洞再次提醒行业，安全意识和谨慎操作在加密货币管理中至关重要，无论工具声誉多高或看似合法。