Trust Wallet确认浏览器扩展漏洞：圣诞节期间超过$6 百万被盗

Trust Wallet 已正式确认其 Chrome 浏览器扩展程序版本 2.68 存在安全漏洞，导致受影响用户在圣诞节当天发生了总计超过 $6 百万美元的未授权提款。

公司强调，只有此特定版本的扩展受到影响，移动应用和其他扩展版本仍然安全。

(消息来源：X)

事件详情与即时应对

该漏洞由链上调查员 ZachXBT 于 12 月 25 日首次发现，他报告称在最近一次扩展更新后，多个 Trust Wallet 用户的资金迅速被转移。

Trust Wallet 迅速在社交媒体上确认了问题，敦促用户立即禁用版本 2.68 并升级到最新版本 (版本 2.69)。

团队表示，目前正在进行积极调查，随着细节的披露，将会有进一步的更新。尚未披露具体的技术根本原因。

ZachXBT 的分析显示，攻击者利用漏洞直接访问钱包，执行未授权转账。据报道，被盗资金中超过 $4 百万已被转移到中心化交易所，可能通过闪电贷等手段模糊追踪。

数百名用户似乎受到影响，这是近期较大规模的扩展相关攻击之一。

用户指南与安全建议

Trust Wallet 发布了明确的安全措施：

• 立即禁用并删除版本 2.68 的浏览器扩展。
• 升级到修复版本以继续使用。
• 考虑将资产迁移到提供生物识别验证的移动应用，且未受影响。
• 密切监控钱包活动，留意任何可疑交易。

公司强调，移动应用仍然安全，并建议未来优先使用移动端。

更广泛的背景与历史先例

此次事件呼应 2022 年 11 月 Trust Wallet 曾出现的 WebAssembly 代码漏洞，导致约 17 万美元的损失。该公司当时已全额赔偿受影响用户。

而此次漏洞规模明显更大，引发关于赔偿的疑问。截至 2025 年 12 月 26 日，Trust Wallet 尚未宣布任何赔偿计划，但社区压力不断增加，要求明确答复。

该事件凸显了基于浏览器的钱包存在的持续风险，特别是通过更新引入的漏洞。同时也反映出现代攻击者针对流行自托管工具的攻击手段日益复杂。

对行业的影响

此次攻击再次提醒行业重视及时更新、资产多平台分散存储以及交易监控的重要性。

随着非托管钱包的普及，此类事件可能会加剧对安全措施的审查，推动行业加快审计、更新流程和用户教育的步伐。

Trust Wallet 将继续展开调查，并承诺在事态发展中保持透明。建议用户保持警惕，关注官方渠道获取最新指引。