Trust Wallet扩展遭黑客攻击：33BTC被盗，圣诞前夕安全警报

背景

北京时间今日凌晨，知名区块链安全研究员 @zachxbt 发布消息，称部分 Trust Wallet 用户在短时间内遭遇钱包资金被盗。随后，Trust Wallet 官方 X 账号确认，其浏览器扩展程序 2.68 版本存在严重安全漏洞，并紧急提醒所有用户立即禁用该版本，升级至 2.69 版本以规避风险。

技战法分析

慢雾安全团队在接收到情报后迅速展开技术溯源。通过对 2.67 与 2.68 版本核心代码的比对发现，攻击者在 2.68 版本中植入了隐蔽的恶意逻辑。

该恶意代码会遍历用户所有钱包，并在解锁过程中发起“获取助记词”的请求。攻击者利用用户输入的密码（password 或 passkeyPassword）解密助记词后，将其发送至恶意域名 api.metrics-trustwallet[.]com。

进一步调查发现，该域名注册于 2025 年 12 月 8 日，服务商为 NICENIC INTERNATIONA。首次出现相关请求记录的时间为 12 月 21 日，与代码后门植入时间（12 月 22 日）高度吻合。

攻击链路复现

动态分析显示，当用户解锁钱包时，攻击者通过调用 GET_SEED_PHRASE 函数获取助记词，并将其填充至 errorMessage 字段中。该数据随后通过 emit 调用，经由 PostHogJS 开源分析框架发送至恶意服务器。

使用 BurpSuite 抓包验证，攻击者将助记词封装在请求体的 errorMessage 字段中，发送至 https://api.metrics-trustwallet.com，完成信息泄露全过程。

被盗资产追踪

根据 ZachXBT 提供的黑客地址链上数据，截至发文时，比特币主网被盗金额约为 33 BTC（价值约 300 万美元），Solana 链上损失约 431 美元，Ethereum 主网及多个 Layer 2 网络合计损失约 300 万美元。黑客已通过中心化交易所和跨链桥完成资产清洗与兑换。

事件总结与影响

此次攻击并非因第三方依赖包被篡改所致，而是直接对 Trust Wallet 扩展自身源码进行恶意修改。攻击者利用合法的 PostHog 库实现数据外泄，具备高度隐蔽性。结合域名注册时间与攻击行为节奏，极有可能是一起由专业组织发起的 APT 攻击，攻击者或早在 12 月 8 日前已获得开发权限或部署控制权。

当前，该事件已引发市场广泛关注，比特币波动加剧，投资者信心受到冲击。区块链分析数据显示，短期内大量用户开始转向更安全的钱包存储方案，市场趋势呈现明显避险特征。

安全建议

1. 立即断开网络，排查是否安装过受影响版本的 Trust Wallet 扩展。 2. 导出私钥或助记词并彻底卸载该扩展钱包。 3. 将资金转移至经过审计的冷钱包或可信热钱包，避免二次损失。