Trust Wallet钱包被偷：700万美元被盗，骗子被ZachXBT曝光

主要亮点：

• Trust Wallet 的 Chrome 扩充功能于 2025 年 12 月 26 日遭到入侵，导致用户损失 700 万美元。
• 只有浏览器扩充功能受到影响。
• ZachXBT 也举报了诈骗帐号。

Trust Wallet 是一款广为人知的钱包，被许多社群成员用于储存和管理他们的加密货币。目前，Trust Wallet 的 Chrome 浏览器扩充功能正面临安全漏洞。

在过去几个小时里，许多用户发现他们的钱包里的钱未经授权就被转走了。区块链侦探ZachXBT随后证实了此事，并表示已有价值超过600万美元的加密货币被盗，影响了数百名用户。

事件详情及用户影响

ZachXBT 的监控显示，扩充功能更新后大量资金被窃。 Trust Wallet 随后发布官方声明，称只有浏览器扩充功能 2.68 版本受到影响，并要求用户立即升级到 2.69 版本。行动应用用户和其他版本的扩充功能未受此次安全漏洞影响。

我们发现 Trust Wallet 浏览器扩充功能 2.68 版本有安全漏洞。使用 2.68 版本的使用者应停用该版本并升级至 2.69 版本。

请点击此处前往Chrome线上应用程式商店官方连结：https://t.co/V3vMq31TKb

请注意：仅限行动装置用户…

— Trust Wallet (@TrustWallet) 2025年12月25日

PeckShield随后报告称，攻击者已成功从中心化交易所（CEX）窃取了约400万美元。其中包括ChangeNOW的330万美元、FixedFloat的34万美元和Kucoin的44.7万美元。

#PeckShieldAlert TrustWallet漏洞已导致受害者损失超过600万美元的加密货币。

虽然约 280 万美元的被盗资金仍留在黑客的钱包中（#比特币/#EVM/# Solana），但大部分——超过 400 万美元的加密货币——已被转移到中心化交易所 (CEX)：约 330 万美元转移到 @ChangeNOW_io，约 34 万美元转移到……M.coa/Naqp.com

— PeckShieldAlert (@PeckShieldAlert) 2025年12月26日

币安创始人CZ随后更新消息称，总损失约700万美元。CZ也向用户保证，Trust Wallet将承担所有损失，所有资金目前安全无虞。团队目前正在调查被盗版钱包是如何被提交的。

目前，这次骇客攻击已造成700万美元损失。 @TrustWallet 将承担赔偿责任。用户资金安全无虞。感谢您的理解，由此造成您的不便敬请谅解。 🙏

团队仍在调查骇客是如何提交新版本的。 https://t.co/xdPGwwDU8b

— CZ 🔶 BNB (@cz_binance) 2025年12月26日

SlowMist 团队的创始人表示，攻击者了解 Trust Wallet 浏览器扩充功能的建构方式。据称，骇客秘密添加了 PostHog JS（一种用于追踪用户活动的工具），在用户不知情的情况下收集钱包资讯。

攻击者看起来很熟悉Trust Wallet源码扩展，侵入PostHog JS来收集用户钱包的各种资讯。

Trust Wallet 修复版未移除 PostHog JS @TrustWallet @EowynChen https://t.co/PM6I7lMCC9

— Cos(余弦)😶‍🌫️ (@evilcos) 2025 年 12 月 26 日

尽管 Trust Wallet 在 2.69 版本中发布了修复程序，但一些用户仍然感到担忧，因为据报导 PostHog JS 仍然存在于更新版本中。这引发了人们对问题是否已彻底解决的质疑。

事件中，虚假受害者帐户被揭穿

这位区块链侦探还在X平台上曝光了一个虚假的受害者帐号。据ZachXBT称，该帐户由骗子运营。他指出，该帐户存在多处疑点，包括用户曾更改用户名44次、过去曾与memecoin骗局有关，以及自2023年以来仅发布234则贴文。

那个 X 帐号是个骗子，他假扮成女孩，谎称自己是骇客攻击的受害者，以此来诱骗互动。

>44 次使用者名称更改
无数的memecoin骗局
>2023 年的帐号只有 234 篇贴文
他们预先屏蔽了我

X 用户 ID：1725149174780268544 pic.twitter.com/mGyLe5Jvf5

— ZachXBT (@zachxbt) 2025年12月26日

以上种种都表明，诈骗分子通常会利用安全事件期间的恐慌情绪，并在用户已经处于紧张状态时增加网路钓鱼和虚假索赔的风险。

安全专家解释更安全的钱包如何防止资金瞬间被盗

SlowMist 创办人 Cos 也在 X 上分享了一个重要的钱包安全见解，他解释说，帐号抽象 (AA) 钱包（例如 Starknet 上的钱包）透过双重认证和冷静期等功能提供更高水准的保护，即使恢复短语泄露，也能防止资金立即被盗。

他将此与传统的以太坊钱包进行了比较，在传统的以太坊钱包中，一次批准就可能导致重大损失，并建议用户使用内置安全措施的工具，将其与硬体钱包搭配使用，并避免盲签名以降低风险。

另请阅读： 巨鲸 Multisig钱包遭骇客攻击损失2700万美元，安全漏洞暴露无遗