Trust Wallet 用户资金被盗至少 600 万美元 ZachXBT 详解攻击路径与安全漏洞

ZachXBT 调查事件全貌

链上侦探 ZachXBT 近期披露，一起涉及 Trust Wallet 浏览器扩展程序的安全事件正在持续扩大。根据其追踪结果，多名用户的钱包在未进行任何主动操作的情况下，资产被直接转移，初步统计损失金额已至少达到 600 万美元。

与常见的钓鱼链接或授权诈骗不同，此次事件的共性在于：

• 多名用户使用的是 Trust Wallet 浏览器扩展 \

• 资产被转移时未出现明显交互提示 \

• 资金流出时间高度集中 \

这些特征促使 ZachXBT 判断，该事件更可能源于钱包扩展层面的系统性风险，而非单点诈骗。

攻击发生的具体时间与环境

从链上时间线来看，被盗交易主要集中发生在相对短的时间窗口内。多个受害钱包在几乎相同的时间段内，出现了一次性清空或大额转移的行为，且目标地址高度分散。

ZachXBT 指出，受影响用户大多是在桌面端使用浏览器扩展进行日常操作，包括 DeFi 交互、钱包管理或资产查看。这一环境本身就比移动端更容易受到扩展权限、脚本注入等风险影响。

被盗细节：黑客如何获取控制权

从已披露的信息来看，攻击并非通过传统私钥暴力破解完成，而更可能涉及以下路径之一：

• 浏览器扩展漏洞被利用，导致私钥或助记词在本地暴露 \

• 扩展在特定版本中存在未授权访问问题 \

• 攻击者能够绕过用户签名确认直接发起转账 \

部分受害者反馈称，钱包并未弹出任何异常授权窗口，资产却在后台被直接转走。这种情况通常意味着攻击者已提前获得完整控制权限，而非单次授权。

资金转移方式与链上特征

在链上数据中，可以观察到以下几个明显特征：

• 被盗资产涵盖 ETH、BTC、SOL 等主流币种 \

• 转账完成后迅速进入中转地址 \

• 随后通过拆分、多跳转账或跨链方式分散 \

这种操作方式显示，攻击者具备成熟的链上洗钱经验，并非临时起意。ZachXBT 认为，部分资金可能已通过混币或跨链桥进一步隐藏流向，追回难度较高。

用户操作层面的关键风险点

尽管漏洞本身并非用户直接造成，但 ZachXBT 也指出，一些常见使用习惯可能放大了风险：

• 在浏览器扩展中直接导入助记词 \

• 长期将大额资产存放于热钱包 \

• 同一浏览器中安装多个 Web3 插件 \

• 忽视扩展版本更新与安全公告 \

在这种情况下，一旦扩展出现漏洞，攻击者就可能获得对整个钱包的完全访问权限，用户几乎没有反应时间。

Trust Wallet 后续措施与行业警示

事件曝光后，Trust Wallet 官方迅速发布安全提醒，确认特定浏览器扩展版本存在风险，并建议用户立即升级或停止使用受影响版本。官方同时强调，移动端应用暂未发现类似问题。

从行业角度看，这起事件再次凸显了一个现实问题：自托管钱包并不等于绝对安全，工具层面的漏洞同样可能造成系统性损失。

总结

ZachXBT 披露的 Trust Wallet 被盗事件，并非一次简单的诈骗案例，而是一场由浏览器扩展漏洞引发的集中性安全事故。至少 600 万美元的损失背后，是钱包工具、安全习惯与风险认知之间的多重叠加。

对普通用户而言，这一事件的核心启示在于：

• 不要将长期资产完全依赖浏览器扩展 \

• 及时关注安全公告与版本更新 \

• 将热钱包与冷存储明确区分 \

在加密资产管理日益复杂的背景下，安全本身已成为不可忽视的成本。