Trust Wallet浏览器扩展现可疑代码 据称导致资金被盗超200万美元

12月25日，知名区块链调查员ZachXBT披露Trust Wallet浏览器扩展程序存在潜在安全漏洞，引发开发者与安全社区高度关注。该问题可能源于12月24日的一次更新，涉及疑似供应链攻击。

可疑代码藏于更新文件中

据X平台流传的分析报告，此次更新引入的JavaScript文件包含伪装成数据统计功能的恶意逻辑。当用户在浏览器扩展中导入助记词时，该代码会自动激活，并将钱包密钥、地址等敏感信息发送至一个新注册的外部域名。

该域名注册时间极短，现已下线，且与官方Trust Wallet基础设施无关联。研究人员认为，这并非普通用户误操作，而是典型的自动化攻击模式。

多用户报告资金被盗

已有多个用户反馈，在导入助记词后短时间内钱包余额清零。链上数据显示，资金通过多个中间地址快速转移，符合批量盗取特征。

尽管具体金额尚未独立验证，但初步估计损失可能超过200万美元。这一规模已接近重大安全事件阈值，引发市场对加密资产存储安全性的重新评估。

影响范围或仅限浏览器端

目前尚无证据表明Trust Wallet移动应用受到波及。安全专家指出，浏览器扩展因依赖第三方包和自动更新机制，更易成为供应链攻击目标。

建议用户立即停止使用该扩展程序导入助记词，直至官方发布明确公告或补丁。

官方仍未发声

截至发稿，Trust Wallet未在官网、社交媒体或安全公告渠道作出任何回应。既未否认指控，也未宣布回滚更新或发布紧急修复方案。

这种沉默加剧了用户焦虑，也反映出企业在应对突发安全危机时的透明度短板。

调查仍在进行中

研究人员强调，当前仍处于初步分析阶段。需结合代码审计、链上行为追踪与服务器日志比对，才能确认事件全貌。

若属实，这将是近年来最严重的钱包类供应链攻击之一，将对用户信任、市场趋势及整个去中心化生态构成挑战。

最后想说的话

此次事件再次凸显了资产存储环节的风险，尤其是依赖第三方组件的开源项目。即便知名钱包也难逃供应链攻击阴影。在缺乏官方回应的情况下，用户应保持警惕，优先采用冷钱包与多重验证机制。未来，如何提升代码审查透明度与应急响应能力，将成为行业必须面对的核心议题。