Trust 用戶資金被盜至少 600 萬美元 ZachXBT 詳解攻擊路徑與安全漏洞

ZachXBT 調查事件全貌

鏈上偵探 ZachXBT 近期披露，一起涉及 Trust 瀏覽器擴展程序的安全事件正在持續擴大。根據其追蹤結果，多名用戶的錢包在未進行任何主動操作的情況下，資產被直接轉移，初步統計損失金額已至少達到 600 萬美元。

與常見的釣魚連結或授權詐騙不同，此次事件的共性在於：

• 多名用戶使用的是 Trust 瀏覽器擴展 \
• 資產被轉移時未出現明顯交互提示 \
• 資金流出時間高度集中 \

這些特徵促使 ZachXBT 判斷，該事件更可能源於錢包擴展層面的系統性風險，而非單點詐騙。

攻擊發生的具體時間與環境

從鏈上時間線來看，被盜交易主要集中發生在相對短的時間窗口內。多個受害錢包在幾乎相同的時間段內，出現了一次性清空或大額轉移的行爲，且目標地址高度分散。

ZachXBT 指出，受影響用戶大多是在桌面端使用瀏覽器擴展進行日常操作，包括 DeFi 交互、錢包管理或資產查看。這一環境本身就比移動端更容易受到擴展權限、腳本注入等風險影響。

被盜細節：黑客如何獲取控制權

從已披露的信息來看，攻擊並非通過傳統私鑰暴力破解完成，而更可能涉及以下路徑之一：

• 瀏覽器擴展漏洞被利用，導致私鑰或助記詞在本地暴露 \
• 擴展在特定版本中存在未授權訪問問題 \
• 攻擊者能夠繞過用戶籤名確認直接發起轉帳 \

部分受害者反饋稱，錢包並未彈出任何異常授權窗口，資產卻在後臺被直接轉走。這種情況通常意味着攻擊者已提前獲得完整控制權限，而非單次授權。

資金轉移方式與鏈上特徵

在鏈上數據中，可以觀察到以下幾個明顯特徵：

• 被盜資產涵蓋 ETH、BTC、SOL 等主流幣種 \
• 轉帳完成後迅速進入中轉地址 \
• 隨後通過拆分、多跳轉帳或跨鏈方式分散 \

這種操作方式顯示，攻擊者具備成熟的鏈上洗錢經驗，並非臨時起意。ZachXBT 認爲，部分資金可能已通過混幣或跨鏈橋進一步隱藏流向，追回難度較高。

用戶操作層面的關鍵風險點

盡管漏洞本身並非用戶直接造成，但 ZachXBT 也指出，一些常見使用習慣可能放大了風險：

• 在瀏覽器擴展中直接導入助記詞 \
• 長期將大額資產存放於熱錢包 \
• 同一瀏覽器中安裝多個 Web3 插件 \
• 忽視擴展版本更新與安全公告 \

在這種情況下，一旦擴展出現漏洞，攻擊者就可能獲得對整個錢包的完全訪問權限，用戶幾乎沒有反應時間。

Trust 後續措施與行業警示

事件曝光後，Trust 官方迅速發布安全提醒，確認特定瀏覽器擴展版本存在風險，並建議用戶立即升級或停止使用受影響版本。官方同時強調，移動端應用暫未發現類似問題。

從行業角度看，這起事件再次凸顯了一個現實問題：自托管錢包並不等於絕對安全，工具層面的漏洞同樣可能造成系統性損失。

總結

ZachXBT 披露的 Trust 被盜事件，並非一次簡單的詐騙案例，而是一場由瀏覽器擴展漏洞引發的集中性安全事故。至少 600 萬美元的損失背後，是錢包工具、安全習慣與風險認知之間的多重疊加。

對普通用戶而言，這一事件的核心啓示在於：

• 不要將長期資產完全依賴瀏覽器擴展 \
• 及時關注安全公告與版本更新 \
• 將熱錢包與冷存儲明確區分 \

在加密資產管理日益復雜的背景下，安全本身已成爲不可忽視的成本。