登录
Trust Wallet 钱包曝严重后门!超 600 万美元资产被盗,官方版本竟成黑客攻击目标?
(2025 年 12 月 26 日) – 加密货币钱包 Trust Wallet 于今日凌晨发布紧急安全警报,确认其浏览器扩展 2.68 版本存在严重安全漏洞。官方敦促所有使用该版本的用户立即停止使用并尽快通过 Chrome 网上应用店官方渠道升级至 2.69 安全版本!
![图片[1]-零度博客](../themes/icons/grey.gif){kind=icon}
据区块链安全机构派盾(PeckShield)监测,攻击者已利用此漏洞从受害者处窃取了价值超过 600 万美元的加密资产。目前,约 280 万美元的被盗资金仍滞留在黑客的钱包地址中(涉及比特币、EVM 兼容链及 Solana),另有超过 400 万美元的资产已被迅速转移至多个中心化交易平台进行洗钱,其中包括:
-
约 330 万美元转入 ChangeNOW
-
约 44.7 万美元转入 Kucoin
-
约 34 万美元转入 FixedFloat
官方版本何以成为黑客的后门?
随着事件发酵,安全团队慢雾(SlowMist)对新旧版本的代码进行了深入审计。通过对比存在漏洞的 2.68.0 版本与已修复的 2.69.0 版本,分析人员发现,攻击者在官方代码中植入了一段伪装成数据采集服务的恶意代码。如图
该后门代码利用了一个名为 PostHog 的数据分析工具,秘密采集用户的敏感信息,其中甚至包括钱包的助记词。所有窃取的数据都被发送至攻击者控制的服务器 api.metrics-trustwallet[.]com。
慢雾安全团队根据代码变更和链上活动,推演出以下攻击时间线:
-
12 月 8 日: 攻击者开始进行准备工作。
-
12 月 22 日: 植入后门的 2.68 版本成功通过审核并上线。
-
12 月 25 日: 攻击者利用圣诞假期,开始大规模使用窃取的助记词盗取用户资金。
慢雾科技首席信息安全官 23pds 指出,攻击者对 Trust Wallet 的扩展源码非常熟悉,这表明 Trust Wallet 的开发人员设备或代码仓库极有可能已被渗透。他强烈建议受影响的用户:
-
立即断开网络连接。
-
在离线状态下,导出助记词并将资产转移至一个全新的、安全的钱包。
-
完成资产转移后,再进行钱包扩展的升级操作。
值得注意的是,尽管 2.69.0 修复版切断了恶意数据传输,但并未完全移除 PostHog 的相关代码库。
历史重演:当官方渠道不再可信
此次 Trust Wallet “官方投毒” 事件,再次暴露了加密行业在软件供应链安全方面的脆弱性,也让市场联想到了多起类似的高危攻击。
-
供应链攻击:
-
Ledger Connect Kit 事件(2023 年 12 月): 硬件钱包巨头 Ledger 的一个前端代码库因员工遭遇钓鱼攻击而被植入恶意代码,导致 SushiSwap 等多个主流 dApp 前端受到污染,给用户造成了巨大损失。该事件是典型的供应链攻击案例。
-
Hola VPN 扩展被劫持(2018 年): 知名 VPN 服务 Hola 的 Chrome 扩展同样因开发者账号被黑而推送了恶意更新,专门用于监控并窃取 MyEtherWallet 用户的私钥。
-
-
代码自身缺陷:
-
Slope 钱包助记词泄露(2022 年 8 月): Solana 生态曾爆发大规模盗币事件,调查指向 Slope 钱包的某版本会通过日志系统将用户的助记词以明文形式发送至其 Sentry 监控服务器。
-
Trust Wallet 历史漏洞(CVE-2023-31290): Trust Wallet 浏览器扩展此前曾被曝出存在密钥生成过程中的熵不足问题,导致攻击者可以暴力破解特定版本生成的钱包地址。
-
安全警示:在黑暗森林中保持警惕
从官方渠道下载的软件本身成为作恶工具,极大地压缩了用户的安全空间。当“李鬼”伪装成“李逵”,用户防不胜防。此类事件发生后,利用用户恐慌情绪进行二次诈骗的钓鱼活动也往往激增。
无论是 Slope 的明文日志,还是 Trust Wallet 此次的恶意后门,历史的教训反复警示我们:在加密世界,不应盲目信任任何单一的软件或硬件终端。每一位用户都必须建立自己的安全防线,这包括:
-
分散资产: 不要将所有鸡蛋放在同一个篮子里,使用多个钱包分散存储资产。
-
定期审查授权: 定期检查并取消不必要的或可疑的 dApp 合约授权。
-
保持警惕: 对任何软件的异常更新保持警惕,并优先从官方、可信的渠道获取信息。
截至发稿时,Trust Wallet 官方仍在持续敦促用户升级,而被盗资金的链上异动仍在继续。这场“圣诞劫”的余波,远未结束。
