Odaily星球日報訊 2025 年 12 月 24 日至 26 日期間,Trust Wallet Browser Extension v2.68 版本因 API 密鑰洩露導致被上傳惡意代碼。該事件影響了在此期間登錄擴展程序的 2520 個錢包地址,導致約 850 萬美元資產被盜。調查顯示,該攻擊與 11 月發生的行業性供應鏈攻擊 Sha1-Hulud 有關,攻擊者通過洩露的 GitHub 憑證獲取了 Chrome Web Store API 訪問權限。
Trust Wallet 已決定自願賠償受影響用戶,目前正在敲定賠償工作流程和所有權驗證過程,並已開始與聯繫官方的受害者對接。Trust Wallet 提醒,受影響用戶應立即將資金轉移至新錢包,並通過官方表單提交索賠申請。目前已收到超過 5000 份索賠申請,團隊正在對案件進行逐一審查。此外,Trust Wallet 已發佈修復後的 2.69 版本,並禁用了相關的發佈權限和憑證。
