链上侦探ZachXBT 揭露，Trust Wallet 浏览器扩充功能在今日传出资安事件，多名使用者在汇入助记词后钱包瞬间被清空，总计损失金额超过600 万美元。他指出，此漏洞与Chrome 浏览器扩充功能的特定版本更新有关，且涉及供应链攻击迹象，呼吁用户尽快升级。

Trust Wallet 用户资金遭盗，Chrome 扩充功能更新成主因

昨日，大量Trust Wallet 用户陆续在社群媒体上反映钱包资金遭不明转出，他们宣称在扩充功能中输入助记词后，资金就会在几分钟内消失，其中甚至有用户表示自己损失了70 万美元。

ZachXBT 根据众多事件在时间上的重叠，推测漏洞源于12 月24 日Trust Wallet Chrome 扩充功能2.68 版本的更新。

他表示，随着受害者规模迅速扩大，被盗金额已超过600 万美元。

研究员拆解程式码：新档案搭配可疑网域导向，凸显供应链攻击疑云

根据资安团队Epik 的分析，在Trust Wallet Chrome 扩充的2.68 版本中，发现名为4482.js 的档案中出现了一段未在更新纪录中提及的程式码。

其表面上声称是「分析功能」，但实际上可能在「汇入助记词」的过程中触发，并将资料传送到一个可疑网域metrics-trustwallet[.]com。该网域在几天前注册但现已下架，凸显了供应链攻击的可能性。

然而，这些结论仍来自第三方审计，真实情形仍待官方审计公布。

官方回应：仅影响Chrome 扩充功能2.68 版，呼吁升级修复

Trust Wallet 对此也在今晨发布公告，明确指出事件仅影响Chrome 扩充功能2.68 版本，建议所有用户立即停用该版本，并呼吁升级修复后的2.69 版本：

使用行动装置的用户以及所有其他浏览器的扩充功能版本均未受到影响，请认明官方Chrome 线上应用程式商店连结进行下载。

虽然官方仍未公布事件的真实原因，但团队表示已启动内部调查并将持续更新。

自托管弱点浮现：密码学很安全，但执行环境危机四伏

这起事件再度凸显了加密货币自托管常被忽视的现实：密码学本身很安全，但资金的损失不一定需要破解加密协议。

从私钥与助记词的保管、浏览器扩充功能、桌机与行动端软体更新到恶意钓鱼网址，加密世界的危机四伏，使得自托管用户防不胜防。任何环节或执行环境存在漏洞，所有资产都可能瞬间被清空。

尤其对于基于浏览器的第三方扩充功能，用户须注意「避免安装不必要的浏览器扩充插件、将资金转移至新建立或授权干净的安全钱包、忽略不明的复原或支援讯息」。

本文链接地址：https://www.wwsww.cn/hqfx/36143.html
郑重声明：本文版权归原作者所有，转载文章仅为传播更多信息之目的，如作者信息标记有误，请第一时间联系我们修改或删除，多谢。