Trust Wallet 启动赔偿流程，承担用户钱包 700 万美元全部损失

Trust Wallet 启动针对 Chrome 浏览器扩展程序 v2.68 版本安全事件受害者的赔偿流程，此次黑客攻击导致数百个钱包损失约 700 万美元数字资产。币安创始人 CZ 确认，公司将承担所有受影响用户的全部损失，受害者可通过官方入口网站提交索赔申请。

Trust Wallet API 密钥外泄引发供应链攻击

Trust Wallet CEO Eowyn Chen 在事后调查中揭露了攻击的核心手法。黑客取得了 Trust Wallet 的 Chrome 网上应用程序商店 API 密钥，这个关键凭证原本仅供内部团队发布更新使用。攻击者利用这把「万能钥匙」，于 UTC 时间 12 月 24 日下午 12:32 绕过 Trust Wallet 的标准内部发布流程，直接在 Chrome 商店推送了被篡改的 v2.68 版本。

这种攻击手法在信息安全领域被称为「供应链攻击」，攻击者不直接攻击用户，而是渗透软件供应商的发布管道，将恶意代码伪装成官方更新推送给所有用户。由于更新来自官方商店且签署凭证有效，用户和浏览器都无法识别其恶意性质。Trust Wallet 拥有约一百万 Chrome 扩展功能用户，这种攻击方式的潜在影响面极为广泛。

区块链安全公司 SlowMist 在技术分析中指出，恶意代码利用了修改后的开源分析库。攻击者精心设计的代码会在用户登录扩展功能时，静默获取钱包助记词并回传至黑客控制的服务器。助记词是控制加密货币钱包的最高权限凭证，一旦外泄，攻击者可以完全掌控受害者的所有资产。Chen 表示，在 12 月 26 日上午 11 点（UTC 时间）之前登录该扩展功能的用户可能已经受影响。

Trust Wallet 于圣诞节当天收到链上调查员 ZachXBT 在 Telegram 上发布的警报后，立即启动紧急应变程序。团队于 12 月 25 日发布 v2.69 版本修复漏洞，并从 Chrome 商店移除恶意版本。然而，在恶意版本上线期间登录的用户，其助记词可能已经外泄，即使后续更新也无法挽回损失。

700 万美元失窃资金流向追踪

区块链安全公司 PeckShield 通过链上分析追踪了被盗资金的流向。约 700 万美元的数字资产在多个区块链上被盗，包括比特币、以太坊和 Solana 等主流链。攻击者采取了快速变现策略，超过 400 万美元的被盗资金已通过 ChangeNOW、FixedFloat 和 KuCoin 等中心化交易所转移。截至周四，约有 280 万美元仍留在攻击者的钱包中。

这种资金流向模式显示攻击者具备专业的洗钱能力。ChangeNOW 和 FixedFloat 是无需 KYC 的即时交易所，常被用来混淆资金来源。将部分资金转入 KuCoin 等大型交易所则可能是为了进一步分散或套现。链上追踪虽然透明，但一旦资金进入中心化交易所或混币器，追回难度将大幅提升。

值得注意的是，攻击发生时间选在圣诞节前夕，这是典型的黑客策略。节假日期间，企业安全团队人力减少，响应速度降低，给攻击者争取了更多时间转移资产。Trust Wallet 仅用了约 24 小时就发布修复版本，但攻击者已经有足够时间完成第一波资金转移。

目前仅 Trust Wallet 的 Chrome 扩展功能受到影响，移动应用（iOS 和 Android）以及其他浏览器版本（如 Firefox、Edge）用户未受此次事件波及。这是因为不同平台使用独立的发布管道和 API 密钥，攻击者仅取得了 Chrome 商店的发布权限。

官方赔偿流程与诈骗警示

Trust Wallet 在官方入口网站上线了正式的赔偿申请表单，受影响用户需提供以下信息完成索赔：

索赔申请必要信息

· 基本身份资料：电子邮件地址与居住国家/地区，用于身份验证和后续联系

· 受害钱包证明：被盗钱包地址与攻击者的收款地址，需提供完整的链上地址格式

· 交易证据：相关的交易哈希值（Transaction Hash），作为资金被盗的链上证据

Trust Wallet 团队表示：「我们正在日以继夜地工作，以最终确定赔偿流程的细节，每个案例都需要仔细核实，以确保准确性和安全性。」这种审核机制旨在防止虚假索赔，但也意味着赔偿发放需要一定时间。币安创始人 CZ 在 X 上明确承诺：「Trust Wallet 将承担全部损失」，并强调用户资金「安全无虞」。币安于 2018 年收购 Trust Wallet，此次承诺展现了母公司对品牌信誉的维护决心。

Trust Wallet 特别提醒用户警惕事件发生后出现的虚假赔偿表格和身份冒用诈骗。黑客和诈骗分子往往利用安全事件制造二次伤害，通过冒充官方表单窃取更多个人信息或助记词。用户应仅通过 Trust Wallet 官方网站或经过验证的官方社区渠道提交索赔申请，切勿点击来源不明的链接或向任何人透露助记词。

此次事件凸显了中心化发布管道的系统性风险。即使是去中心化钱包，其软件更新机制仍依赖 Google、Apple 等中心化平台。API 密钥管理不善可能导致整个用户群体暴露于风险之中。Trust Wallet 需要全面检视密钥存储机制，采用硬件安全模块（HSM）或多签授权等更高安全等级的保护措施。对于用户而言，定期备份助记词、使用硬件钱包存储大额资产、关注官方安全公告，都是降低类似风险的有效手段。