数百万资金被盗：Trust Wallet浏览器扩展危机

先损失：用户的损失

去年12月，Trust Wallet浏览器扩展用户发现了一件令人恐惧的事情——他们的钱包被完全清空。在导入助记词的几分钟内，资金在多笔交易中消失。这不是逐步发生的，而是瞬间自动完成的。在用户反应过来之前，数百万资产已被转移到攻击者控制的地址。

速度和规模表明情况远比普通钓鱼攻击更为严重：攻击者已经拥有签名权限。

追溯源头：漏洞是如何发生的

事件的起因似乎是12月24日的一次例行更新。Trust Wallet浏览器扩展推出了新版本，没有任何明显的异常。用户正常更新，期待着常规的安全补丁。

但在这个版本中隐藏着恶意内容。

隐藏的武器：藏在眼前的伪装代码

安全研究人员发现了嵌入扩展中的新JavaScript代码(file 4482.js)。巧妙之处在于？它被伪装成分析或遥测追踪——每个应用程序都会使用的监控代码。它也不是一直激活，而是处于休眠状态，直到触发特定条件。

对于浏览器钱包来说，这是一块关键区域。任何意外的出站通信都意味着最大风险，因为它直接访问私钥和签名功能。

触发时刻：导入助记词进入钱包的瞬间

恶意代码只在用户导入助记词到扩展时激活。这正是钱包获得全部控制权的时刻。这是一次性、高风险的操作——攻击者精准把握了时机。

从未导入助记词的用户(只使用预存的钱包)，避免了攻击。而导入的用户？成为了目标。

与犯罪分子的通信：伪造域名

当触发条件满足时，注入的代码会联系一个外部服务器：metrics-trustwallet[.]com

这个域名被刻意设计得看起来合法——像是Trust Wallet的子域名。但它是在几天前注册的，从未被官方记录，且在骗局曝光后很快下线。

这次出站通信标志着攻击者确认他们成功植入了恶意代码，可以开始抽取钱包资金。

执行：钱包实时被清空

一旦攻击者收到导入助记词的信号，他们就会精准行动：

• 自动交易序列立即启动
• 资产被分散转移到多个攻击者地址
• 不需要用户确认弹窗或签名
• 通过多个钱包进行资金合并，切断追踪线索

受害者没有任何机会干预。当他们发现钱包空了时，资金已经通过攻击者的基础设施转移完毕。

为何此次攻击如此危险

这次事件不同于普通的钱包盗窃。它揭示了几个关键漏洞：

浏览器扩展风险高： 它们比网页应用拥有更深层次的系统访问权限，能拦截敏感操作。

供应链攻击真实存在： 一次被破坏的更新可能同时影响数十万用户。

导入助记词是关键时刻： 这是钱包最脆弱的时刻——攻击者已掌握这一点并加以利用。

伪造文档有效： 模仿合法基础设施的域名可以在眼前隐藏恶意内容。

已确认的事实

• 某个版本的Trust Wallet浏览器扩展包含注入的代码
• 用户在导入助记词后不久损失大量资金
• 恶意域名曝光后下线
• Trust Wallet官方确认发生了安全事件
• 攻击仅限于浏览器扩展，移动端用户未受影响

尚不清楚的事项

• 这是供应链被攻破还是蓄意破坏
• 受影响用户的具体数量
• 全球被清空的资金总额
• 劫持的助记词是否被用作未来攻击的工具
• 谁策划了此次攻击

教训：盲目信任不可取

此次事件暴露了2024年加密安全的现实：即使是知名应用也可能被攻破。浏览器扩展尤其危险，因为它们在你的电脑和资产之间的敏感空间中运行。

用户应将导入助记词视为最关键的安全时刻。任何更新都应谨慎对待。并且要采取多层保护措施，而不是依赖单一工具。

Trust Wallet事件证明，即使拥有数百万用户和知名品牌，也不能保证绝对安全。保持警惕才是唯一的真正安全措施。