Trust Wallet Chrome扩展更新引资金被盗 超430万美元遭清空

币圈网报道：2025年12月26日 | 10:20 一次例行的浏览器扩展更新，却演变成加密货币用户群体性的安全危机。在近期发布的 Trust Wallet Chrome 扩展程序 2.68.0 版本中，大量用户报告在恢复助记词后的几分钟内，钱包余额被瞬间清空。

最初仅是零星投诉，迅速演变为社交媒体上的集中爆发。链上数据记录显示，多笔交易呈现高度相似模式，指向一种协同式资源流失行为，影响范围覆盖多个独立钱包。

链上调查揭示协同攻击特征

区块链分析师 ZachXBT 指出，攻击发生在 12 月 24 日扩展程序更新前后，多个互不关联的钱包在极短时间内以完全一致的方式被清空。所有交易均在恢复操作完成后立即发生，无延迟迹象，表明攻击可能嵌入于更新版本的代码逻辑中。 受影响资产涵盖比特币、以太坊和币安币，且均为一次性转移，未见分批提现或人工干预痕迹，进一步支持自动化攻击模型的判断。

超过430万美元资金被追踪

通过 Arkham 等区块链智能工具分析，已确认超过 430 万美元的加密资产从多个受害地址流出。尽管该数字为保守估算，但已链接至公开举报的交易路径。资金被分散至数十个接收地址，形成复杂洗钱路径，但整体结构高度统一，证实系单一攻击机制所致。

钱包提供商沉默应对

截至目前，Trust Wallet 官方未发布任何声明。既未承认存在漏洞，也未说明更新版本与损失之间的关联。用户缺乏明确指引，包括是否应停止使用该扩展、撤销权限或迁移资产，亦无针对受损用户的补偿或恢复方案。

核心疑点聚焦更新版本

当前调查仍依赖链上取证与用户时间线回溯。12月24日发布的 2.68.0 版本被视为关键节点，但尚未有技术审计结果证实其为根本原因。此事件再次凸显基于浏览器的钱包在权限管理与代码透明度方面的潜在风险，尤其在涉及助记词处理时。 在缺乏官方解释的情况下，用户需高度警惕此类扩展程序的权限授予行为。此次事件不仅是技术漏洞暴露，更反映了市场在面对快速迭代的 Web3 工具时，对安全机制的系统性盲区。未来，如何提升钱包生态的可验证性与应急响应能力，将成为行业必须面对的核心议题。 此内容仅供参考，不构成投资或证券建议。