loading...
由币安支持的TrustWallet作为主流多链自托管钱包,近期遭遇严重安全事件。2025年12月26日,网络安全研究者披露,其Chrome扩展程序v2.68.0版本被植入恶意JavaScript代码,造成用户助记词泄露,进而引发大规模资金被盗。
攻击始于2025年12月24日,受感染的v2.68.0版本在谷歌应用商店上线。该版本中的4482.js文件包含一段隐蔽脚本,伪装为“TrustWallet Metrics”分析模块,实则在用户导入助记词时自动捕获并外传数据。
据研究者披露,恶意代码将敏感信息发送至一个新注册的域名,该域名被刻意命名为类似官方服务的名称,以规避检测。一旦助记词被窃取,攻击者即可在本地恢复钱包,实现无授权资金提取,整个过程无需用户交互。
由于攻击具备高度隐蔽性,且无需触发二次验证,许多用户在未察觉的情况下已完成资金流失。安全专家强烈建议:若已安装该版本扩展,应立即断开设备与互联网连接,防止进一步风险。
相关推文指出:‘如果你在谷歌应用商店安装了TW扩展程序,并且账户里有余额,请断开安装了该扩展程序的电脑与网络和互联网的连接。’
此次事件波及比特币(BTC)、Solana(SOL)、BNB智能链(BSC)以及多个EVM兼容L2网络上的资产。被盗资金迅速被转移至ChangeNOW、FixedFloat、KuCoin和HTX等平台,初期难以统计具体规模。
根据官方确认,净损失金额约为700万美元。这一数字反映了当前加密货币市场中高价值资产面临的安全威胁,也凸显了去中心化钱包在更新机制与代码审计方面的薄弱环节。
TrustWallet于2025年12月26日发布声明,确认事件影响范围,并承诺所有受害者将获得全额退款。目前,开发团队已推出v2.69.0版本,修复漏洞并加强安全验证机制。
尽管赔偿方案的具体执行流程尚未公布,但团队表示正积极完善退款通道,优先处理受影响用户诉求。此举旨在重建用户信任,缓解市场恐慌情绪。
然而,事件对代币价格造成冲击。TWT代币价格一度跌至0.76美元,创下9月中旬以来最低点,单日跌幅达8%。截至发稿,市场已部分消化负面消息,价格逐步企稳。
本次事件再次引发对去中心化钱包安全性与第三方插件审查机制的广泛讨论。尽管用户拥有完全控制权,但一旦依赖外部组件,便可能暴露于供应链攻击风险之中。
随着比特币波动加剧与Layer2生态快速发展,用户对高效、安全的资产存储需求持续上升。此次攻击提醒市场:即使知名项目也可能存在漏洞,区块链分析显示,异常流量模式是早期预警的关键信号。
未来,强化代码透明度、引入多重签名审核机制、推动钱包开源审计,或将成为主流趋势。同时,监管机构对关键基础设施的合规要求或将逐步收紧,以应对日益复杂的网络威胁。
214
754
419
870
144
580
979
911
835
329
