Trust Wallet 揭露价值 850 万美元的黑客事件细节 - ForkLog：加密货币、人工智能、奇点、未来

# Trust Wallet 揭露价值 8.5 百万美元的被盗细节

Trust Wallet 团队发布了关于12月26日发生的事件的报告。不法分子入侵了浏览器扩展，并转移了价值 8.5 百万美元的资产。

根据声明，此次攻击影响了 2520 个地址。开发者承诺将全额赔偿受害者的损失。

事件经过

此次被盗的原因是对 Sha1-Hulud 供应链的大规模攻击，早在11月就已发生。当时黑客获得了 GitHub 上开发者的秘密信息和 Chrome Web Store 的 API 密钥。

利用被盗数据，不法分子进行了以下操作：

1. 在 Chrome Web Store 上上传了带有恶意代码的扩展版本 (2.68)，绕过了 Trust Wallet 的内部审查。
2. 注册了域名 metrics-trustwallet.com，用于收集敏感数据 (助记词和私钥)。
3. 在通过 Google 审核后，自动向用户推送了更新。

恶意版本在12月24日至26日期间活跃。问题被发现后，团队将扩展回滚到安全版本 2.69，并撤回了被盗用的密钥。

受影响范围

漏洞仅影响在上述日期使用版本 2.68 桌面扩展的用户。移动端 Trust Wallet 应用和其他版本的扩展未受到影响。

分析师发现了 17 个由黑客控制的地址。总损失达 8.5 百万美元。

“我们将此次事件视为对我们的重要教训，也标志着整个行业在供应链攻击方面的转折点，”Trust Wallet 表示。

赔偿流程

公司已开始与受害者联系。用户需通过官方支持表格提交申请并完成钱包所有权验证，以获得赔偿。

Trust Wallet 强调，由于诈骗行为频发，赔偿流程较为复杂。目前已有超过 5000 个申请，针对 2520 个受影响地址。团队呼吁用户保持耐心，警惕钓鱼攻击：官方支持绝不会索要助记词。

为防止类似事件再次发生，项目已加强安全措施，包括代码依赖审计和凭证轮换。

据 SlowMist 统计，2025 年通过钓鱼攻击被盗资金总额同比下降 83%，至 8,385 万美元。