一次看似例行的 Chrome 擴充功能更新,竟成為加密資產重大竊案的開端。12 月 24 日,Trust Wallet 向 Chrome 應用商店推送了擴充功能更新,版本號為 2.68。
12 月 25 日聖誕節當天,首批受害者醒來發現錢包資金遭未授權轉出。區塊鏈偵探 ZachXBT 迅速介入調查,並在 Telegram 社群發出緊急警示。
隨著調查深入,事件全貌逐漸明朗:受影響僅限於瀏覽器擴充功能 2.68 版本,行動端及其他版本則未受波及。
01 事件概述:聖誕安全事件與多方反應
2025 年 12 月 25 日,本該充滿歡樂的聖誕節,卻成了數百名 Trust Wallet 用戶的惡夢。鏈上偵探 ZachXBT 發出警報,指出 Trust Wallet 平台數百名用戶遭遇資金竊取,損失金額已至少達到 600 萬美元。
Trust Wallet 為幣安旗下加密貨幣錢包,宣稱擁有數千萬用戶。作為業界領先的非託管錢包,支援以太坊、幣安智能鏈等多種主流區塊鏈,並與眾多 DeFi 平台緊密整合。
事件發生後,Trust Wallet 官方發布安全警示,確認瀏覽器擴充功能 2.68 版本存在安全漏洞,並緊急推出 2.69 修復版本。
幣安創辦人 CZ 也在社群媒體上回應,表示此次漏洞事件總損失約 700 萬美元,平台將為受影響用戶全額賠償,資金「SAFU」(安全資產基金)。
02 攻擊時間線:精心策劃的聖誕竊案
本次安全事件的時間線揭示出攻擊者的精密計劃。12 月 24 日平安夜,Trust Wallet 向 Chrome Web Store 推送擴充功能更新,多數用戶在節慶氛圍中自動或手動完成更新。
僅僅數小時後,12 月 25 日聖誕節清晨,美國東部時間約凌晨至上午,首批受害者開始發現資金異常轉出。ZachXBT 在接獲多起通報後,於當地時間中午在 Telegram 發布公開警示。
資金轉移行為持續超過 30 小時,從最初通報起跨越相當長時間。在用戶資產持續遭竊期間,Trust Wallet 官方仍在發布節慶祝福與行銷活動內容,這種明顯反差引發社群強烈不滿。
直到 12 月 26 日,也就是事件發生超過 30 小時後,Trust Wallet 代表才針對瀏覽器擴充功能漏洞發出公開警告。此舉引發廣泛批評,進一步加劇用戶憂慮。
03 技術分析:瀏覽器擴充功能的致命漏洞
安全專家分析指出,本次攻擊可能透過兩種途徑實現:一是更新過程中被刻意植入惡意程式碼;二是無意間導入可被利用的漏洞。
Chrome 擴充功能的高權限特性,使其成為攻擊者理想目標。這些擴充功能可讀取並修改用戶瀏覽的所有網頁內容、攔截網路請求、注入任意腳本,甚至存取本地儲存空間。
慢霧 CISO 進一步指出,此次安全事件可能源自開發者設備或程式碼倉庫遭受攻擊掌控,目前仍有用戶持續遭竊。此分析凸顯供應鏈攻擊的威脅——攻擊者無需直接入侵錢包應用本身,只需掌控其依賴的某個上游環節。
安全研究顯示,瀏覽器錢包存在三大系統性風險:自動更新機制讓用戶無法審查程式碼變更即被迫接受新版;權限濫用可能導致合法擴充功能在更新時添加惡意程式碼;依賴鏈漏洞使所有下游應用都可能受影響而用戶毫無察覺。
04 資金流向追蹤:駭客的洗錢路徑
根據 PeckShield 監控數據,Trust Wallet 漏洞利用事件中,駭客已從受害者竊取超過 600 萬美元加密資產。這些資金被迅速自動轉移至一組由攻擊者掌控的錢包。
資金流向追蹤揭示出一套系統性的洗錢流程:
| 資金狀態 | 金額 (約合美元) | 主要流向或說明 |
|---|---|---|
| 仍留在駭客錢包 | 280 萬 | 分布於 Bitcoin、EVM、Solana 網路 |
| 已轉入中心化交易所 | 超過 400 萬 | 流向 ChangeNOW、FixedFloat、KuCoin 等 |
細節來看,約 330 萬美元流入 ChangeNOW,約 34 萬美元流入 FixedFloat,約 44.7 萬美元流入 KuCoin。這種快速分散轉移模式常見於擴充功能或前端遭破壞事件,目的在於增加追查難度。
鏈上分析師追蹤發現,一個新建立的 EVM 錢包收到的交易從零點幾枚 ETH 到 7 枚 ETH 不等,其中一個地址仍持有逾 255 枚 ETH,價值約 75 萬美元。
在比特幣網路上,僅一個地址就透過 66 筆交易獲得超過 12 枚 BTC,價值逾 100 萬美元,另有一些錢包合計收到 1.5 枚 BTC。
05 市場影響與代幣表現
Trust Wallet 事件不僅影響直接受害者,也對整體加密貨幣市場造成震盪。作為該錢包生態系的原生實用代幣,Trust Wallet 代幣(TWT)可能面臨價格壓力。
安全研究公司慢霧創辦人余燼進一步指出,攻擊者似乎非常熟悉 Trust Wallet 擴充功能原始碼,植入了 PostHog JS 以蒐集用戶錢包各類資訊。令人憂心的是,Trust Wallet 修復版本並未移除 PostHog JS 腳本。
歷史數據顯示,類似安全事件通常導致相關代幣價格在 24 小時內下跌 10% 至 20%,交易量激增並伴隨恐慌性拋售。此次事件還可能促使投資人轉向更安全資產,如比特幣和以太坊。
截至 12 月 26 日,Gate 平台數據顯示,市場整體氛圍趨於謹慎,投資人對錢包安全議題的關注顯著提升。儘管 CZ 已承諾全額賠償,市場信心恢復仍需時間。
06 用戶應對指南與安全建議
對於可能受影響的 Trust Wallet 用戶,建議立即採取以下措施:
第一步:檢查與隔離。 檢查最近 48 小時內的交易紀錄,特別留意未授權的代幣轉出、合約互動或授權簽署。如發現可疑交易,立即停用 Trust Wallet Chrome 擴充功能,前往 chrome://extensions 禁用或移除該擴充功能。
第二步:資產搶救。 使用 Revoke.cash 或 Etherscan 的 Token Approvals 功能,撤銷所有 DeFi 授權。建立全新錢包,使用新生成的助記詞,切勿用舊錢包恢復。將剩餘資產轉移至新錢包,並確保不使用可能已遭監控的設備。
第三步:報案與維權。 ZachXBT 建議受害者主動聯繫執法機關並提供詳細交易紀錄。雖然加密貨幣竊盜案破案率不高,但建立正式紀錄對未來集體訴訟或保險理賠至關重要。
尚未受影響的 Trust Wallet 用戶,預防措施包括:暫停使用 Chrome 擴充功能,改用行動應用程式或硬體錢包;檢查並撤銷不必要的 DeFi 合約授權;在情況明朗前避免簽署新交易或授權;定期備份助記詞並離線保存;考慮將大額資產轉移至硬體錢包。
Trust Wallet 官方也已在其支援中心說明賠償流程,受害者可透過該管道登記賠償需求。ZachXBT 表示,若確認事件責任歸屬於 Trust Wallet,該平台可能需對受害用戶進行賠償。
未來展望
當超過 400 萬美元的被竊資金已流入 ChangeNOW、FixedFloat 和 KuCoin 等交易平台,這場聖誕竊案的餘波仍在加密貨幣世界持續迴盪。安全公司 PeckShield 監測顯示,仍有約 280 萬美元資金留在駭客錢包中。
余燼——發現修復版本仍含可疑腳本的安全專家——在社群媒體上持續敲響安全警鐘。安全,在這個數位資產世界裡,從來不是一次性的事件,而是一場沒有終點的馬拉松。
Trust Wallet 的沉默與後續處理,將成為業界如何面對安全危機的風向指標。對於每一位加密資產持有者而言,這次事件無疑是一個沉重且明確的提醒——真正的安全,始終掌握在自己手中。
