加密货币钱包 Trust Wallet 今(26)晨六点多发出重大安全警报,证实其浏览器扩充功能 2.68 版存在严重漏洞,导致用户资产外流。链上侦探 ZachXBT 追踪显示,受害者已达上百人,损失金额首次估算约 600 万美元。
漏洞细节与损失规模
官方通告指出,受影响对象为手机版安装 2.68 版扩充功能的用户。Trust Wallet 在公告中强调:
「我们已发布 2.69 版修补,请所有浏览器扩充用户立即升级。」
如果您也是 Trust Wallet 用户并已安装 2.68 版「请切勿汇入助记词」并最好透过 Chrome 线上应用程式商店的官方连结进行升级。在受污染环境汇入过的助记词最好视为泄漏,应创建全新钱包并将余额迁移。
恶意脚本 4482.js 透过官方更新潜入
据了解,攻击者于打包流程插入名为 4482.js 的档案,并声称用于「Analytics」。它在侦测到使用者输入助记词时,将资料传送至已注册的网域 metrics-trustwallet.com,再藉自动化脚本于 EVM 相容链、Bitcoin 与 Solana 快速提出资产。
目前个别受害者回报损失从数万到数十万美元都有,下一步官方将如何进行潜在的赔偿,动区为您持续追踪。
