主要亮點:
- Trust Wallet 的 Chrome 擴充功能於 2025 年 12 月 26 日遭到入侵,導致用戶損失 700 萬美元。
- 只有瀏覽器擴充功能受到影響。
- ZachXBT 也舉報了詐騙帳號。
Trust Wallet 是一款廣為人知的錢包,被許多社群成員用於儲存和管理他們的加密貨幣。目前,Trust Wallet 的 Chrome 瀏覽器擴充功能正面臨安全漏洞。
在過去幾個小時裡,許多用戶發現他們的錢包裡的錢未經授權就被轉走了。區塊鏈偵探ZachXBT隨後證實了此事,並表示已有價值超過600萬美元的加密貨幣被盜,影響了數百名用戶。
事件詳情及用戶影響
ZachXBT 的監控顯示,擴充功能更新後大量資金被竊。 Trust Wallet 隨後發布官方聲明,稱只有瀏覽器擴充功能 2.68 版本受到影響,並要求用戶立即升級到 2.69 版本。行動應用用戶和其他版本的擴充功能未受此次安全漏洞影響。
我們發現 Trust Wallet 瀏覽器擴充功能 2.68 版本有安全漏洞。使用 2.68 版本的使用者應停用該版本並升級至 2.69 版本。
請點擊此處前往Chrome線上應用程式商店官方連結:https://t.co/V3vMq31TKb
請注意:僅限行動裝置用戶…
— Trust Wallet (@TrustWallet) 2025年12月25日
PeckShield隨後報告稱,攻擊者已成功從中心化交易所(CEX)竊取了約400萬美元。其中包括ChangeNOW的330萬美元、FixedFloat的34萬美元和Kucoin的44.7萬美元。
#PeckShieldAlert TrustWallet漏洞已導致受害者損失超過600萬美元的加密貨幣。
雖然約 280 萬美元的被盜資金仍留在黑客的錢包中(#比特幣/#EVM/# Solana),但大部分——超過 400 萬美元的加密貨幣——已被轉移到中心化交易所 (CEX):約 330 萬美元轉移到 @ChangeNOW_io,約 34 萬美元轉移到……M.coa/Naqp.com
— PeckShieldAlert (@PeckShieldAlert) 2025年12月26日
幣安創始人CZ隨後更新消息稱,總損失約700萬美元。CZ也向用戶保證,Trust Wallet將承擔所有損失,所有資金目前安全無虞。團隊目前正在調查被盜版錢包是如何被提交的。
目前,這次駭客攻擊已造成700萬美元損失。 @TrustWallet 將承擔賠償責任。用戶資金安全無虞。感謝您的理解,由此造成您的不便敬請諒解。 🙏
團隊仍在調查駭客是如何提交新版本的。 https://t.co/xdPGwwDU8b
— CZ 🔶 BNB (@cz_binance) 2025年12月26日
SlowMist 團隊的創始人表示,攻擊者了解 Trust Wallet 瀏覽器擴充功能的建構方式。據稱,駭客秘密添加了 PostHog JS(一種用於追蹤用戶活動的工具),在用戶不知情的情況下收集錢包資訊。
攻擊者看起來很熟悉Trust Wallet源碼擴展,侵入PostHog JS來收集用戶錢包的各種資訊。
Trust Wallet 修復版未移除 PostHog JS @TrustWallet @EowynChen https://t.co/PM6I7lMCC9
— Cos(餘弦)😶🌫️ (@evilcos) 2025 年 12 月 26 日
儘管 Trust Wallet 在 2.69 版本中發布了修復程序,但一些用戶仍然感到擔憂,因為據報導 PostHog JS 仍然存在於更新版本中。這引發了人們對問題是否已徹底解決的質疑。
事件中,虛假受害者帳戶被揭穿
這位區塊鏈偵探還在X平台上曝光了一個虛假的受害者帳號。據ZachXBT稱,該帳戶由騙子運營。他指出,該帳戶存在多處疑點,包括用戶曾更改用戶名44次、過去曾與memecoin騙局有關,以及自2023年以來僅發布234則貼文。
那個 X 帳號是個騙子,他假扮成女孩,謊稱自己是駭客攻擊的受害者,以此來誘騙互動。
>44 次使用者名稱更改
無數的memecoin騙局
>2023 年的帳號只有 234 篇貼文
他們預先屏蔽了我X 用戶 ID:1725149174780268544 pic.twitter.com/mGyLe5Jvf5
— ZachXBT (@zachxbt) 2025年12月26日
以上種種都表明,詐騙分子通常會利用安全事件期間的恐慌情緒,並在用戶已經處於緊張狀態時增加網路釣魚和虛假索賠的風險。
安全專家解釋更安全的錢包如何防止資金瞬間被盜
SlowMist 創辦人 Cos 也在 X 上分享了一個重要的錢包安全見解,他解釋說,帳號抽象 (AA) 錢包(例如 Starknet 上的錢包)透過雙重認證和冷靜期等功能提供更高水準的保護,即使恢復短語洩露,也能防止資金立即被盜。
他將此與傳統的以太坊錢包進行了比較,在傳統的以太坊錢包中,一次批准就可能導致重大損失,並建議用戶使用內置安全措施的工具,將其與硬體錢包搭配使用,並避免盲簽名以降低風險。
另請閱讀: 巨鯨 Multisig錢包遭駭客攻擊損失2700萬美元,安全漏洞暴露無遺
