2025年12月25日至26日,加密社区爆发大规模钱包被盗事件,多位链上活跃玩家(包括DeFi用户、NFT持有者和巨鲸)报告资产被迅速清空,总损失超过700万美元。这一事件迅速引发行业警觉,被视为2025年末最严重的供应链攻击之一。
事件核心指向Trust Wallet的Chrome浏览器扩展程序。12月24日,Trust Wallet推送了版本2.68.0更新,但该版本被注入恶意代码(隐藏在4482.js文件中),伪装成正常分析脚本,实际在用户导入助记词或登录时悄然窃取私钥和种子短语。一旦私钥泄露,黑客即可跨链(EVM链、Bitcoin、Solana等)手动或自动化转移资产,许多受害者在几分钟内就被抽干钱包。
链上侦探ZachXBT率先在12月25日发出警告
指出数百个Trust Wallet用户在短时间内资金被盗,并列出多个黑客地址。PeckShield等安全机构追踪显示,被盗资金部分已流入ChangeNOW、FixedFloat和KuCoin等平台,剩余部分分散在黑客控制的钱包中。Trust Wallet官方于12月25日确认,仅浏览器扩展2.68版本受影响,可能因Chrome Web Store API密钥泄露导致恶意版本被外部上传,绕过内部审核。
受害者反馈显示,攻击精准高效:用户导入助记词后,钱包余额瞬间归零,涉及BTC、ETH、SOL等多种资产。Trust Wallet CEO Eowyn Chen表示,已紧急推送2.69修复版本,并建议受影响用户禁用旧版并升级。母公司Binance创始人CZ确认,将动用SAFU基金全额补偿受害者。
这一事件暴露了浏览器扩展的供应链风险
即使是非托管钱包,也可能因第三方插件或更新渠道成为攻击入口。2025年全年加密盗窃已超34亿美元,此次事件进一步提醒链上玩家:热钱包和浏览器工具便利性背后隐藏巨大风险。
防范建议
- 立即检查Trust Wallet版本,若为2.68,禁用并升级至2.69;
- 优先将资产转移至硬件钱包(如Ledger、Trezor)或中心化交易所冷存储;
- 避免在浏览器扩展中导入助记词,使用移动端App或独立硬件;
- 启用多重签名、撤销不明授权、定期检查交易历史;
- 分散资产存放,避免单一钱包持有大额资金。
行业呼吁加强扩展审核机制和可复现构建,未来或迎来更严格的插件安全标准。
此次Trust Wallet扩展被入侵事件是典型的供应链攻击,凸显了即使知名非托管钱包也存在第三方依赖风险。2025年个人钱包盗窃频发,反映出用户安全意识与技术防护的差距。及时转移资产到硬件或交易所是当前最务实的自救措施,但长远看,行业需推动多签、社交恢复等机制,降低单点故障。用户永远是安全第一责任人,切勿轻信更新便利。