Trust Wallet Chrome插件漏洞致700万美元被盗，官方启动全额赔偿

Trust Wallet于周五宣布正式启动针对其Chrome浏览器扩展程序安全事件受害者的正式赔偿流程。此前，该软件2.68版本中被发现嵌入了恶意代码，导致用户资产被盗。

事件背景：恶意代码入侵与资产流失

据区块链安全公司佩克希尔德确认，此次事件中共有价值约700万美元的数字资产在多个区块链上被盗，涉及比特币、以太坊和Solana等主流资产。截至周四，超过400万美元的资金已通过ChangeNOW、FixedFloat和KuCoin等中心化交易所转移，约280万美元仍留在攻击者钱包中。

市场反应与机构介入

币安创始人赵长鹏在X平台确认，币安将承担此次事件的所有损失。他表示：“到目前为止，此次黑客攻击已造成700万美元损失。TrustWallet将承担全部损失。”并强调用户资金“安全无虞”。这一表态有效缓解了市场恐慌情绪，但事件仍引发对加密资产存储安全性的广泛讨论。

技术溯源：API密钥泄露与发布流程绕过

事件曝光源于链上调查员ZachXBT在圣诞节当天通过Telegram发布警报，指出多名用户报告称在12月24日扩展程序更新后不久即遭遇资金被盗。Trust Wallet于12月25日推送2.69版本修复程序，首席执行官Eowyn陈表示，UTC时间12月26日上午11点前登录该扩展程序的用户可能受影响。

调查显示，泄露的Chrome网上应用商店API密钥被用于在UTC时间12月24日下午12:32发布受感染版本，绕过了Trust Wallet的标准内部发布流程。安全公司SlowMist分析指出，恶意代码利用修改后的开源分析库，窃取用户钱包助记词，实现对资产的远程控制。

赔偿流程与用户应对

受影响用户可通过官方支持表格提交索赔申请，流程托管于Trust Wallet门户网站。需提供电子邮件地址、居住国家/地区、被盗钱包地址、攻击者收款地址及交易哈希值。Trust Wallet承诺将全额赔偿所有核实后的受害者。

公司表示：“我们正在夜以继日地敲定赔偿流程的细节，每个案例都需要仔细核实，以确保准确性和安全性。”

影响范围与未来防范

本次事件仅影响使用Chrome扩展程序的用户，移动应用及其他浏览器版本未受影响。据Trust Wallet披露，其Chrome扩展程序拥有约一百万用户。此次事件暴露了第三方插件生态中潜在的安全风险，也凸显了区块链分析在追踪资金流向中的关键作用。

随着比特币波动加剧与市场趋势持续演变，用户对资产存储安全的关注度显著提升。专家建议，非必要情况下应避免使用未经验证的浏览器扩展，并优先选择硬件钱包等高安全性方案。