Trust Wallet 扩展漏洞：$430万消失，Chrome 更新出错

一次严重的安全事件在12月底推出Chrome扩展程序版本2.68.0后袭击了Trust Wallet用户。在更新部署的数小时内，多个账户的资金迅速被抽走，涉及比特币、以太坊和BNB等主要加密货币。这次漏洞突显了基于浏览器的钱包解决方案的脆弱性，也引发了对钱包更新背后安全协议的严重质疑。

资金快速被盗

链上调查员ZachXBT记录了似乎是一次协调攻击的后续情况。钱包余额在导入种子短语到更新后的扩展后立即大幅下降。不同于典型的逐步账户被盗，这些转账没有任何阶段或时间延迟。相反，攻击者迅速通过多个接收地址转移被盗资产，形成了复杂的路由模式，将众多被攻破的钱包连接在一起。

攻击面明显很广。比特币、以太坊和BNB的持有者都报告了损失，区块链数据显示在多个受影响案例中交易结构保持一致。利用窗口似乎集中在扩展程序发布后的几个小时内，表明攻击者要么预料到漏洞，要么在发现漏洞后精准把握时机进行攻击。

链上追踪显示影响达430万美元

区块链分析显示，超过430万美元的资产从受影响的钱包中流出。这一数字来自ARKHAM追踪的公开可见的链上转账，代表基于报告的账户被攻破的最低损失。随着更多受影响用户站出来，实际损失可能还会更大。

ZachXBT的调查锁定了几个作为被盗资金收集点的钱包地址：

• 0x3b09A3c9aDD7D0262e6E9724D7e823Cd767a0c74
• 0x463452C356322D463B84891eBDa33DAED274cB40
• 0xa42297ff42a3b65091967945131cd1db962afae4

这些地址接收了来自数十个被攻破钱包的转账，显示出要么是“梗”黑客的机会主义，要么是利用漏洞进行系统性盗窃的更有组织的操作。

Trust Wallet的沉默与质疑

截至发稿，Trust Wallet尚未发表任何官方声明承认此次漏洞或回应受影响用户。公司既未确认Chrome扩展更新是否为直接原因，也未提供缓解策略。也没有公布任何恢复指南或修复措施。

缺乏透明度引发了对开发者是否充分理解版本2.68.0引入风险的担忧。时间线仍集中在12月24日，即有问题的更新上线之日，尽管平台尚未解释导致资金被盗的具体技术漏洞。

对于持有Trust Wallet或类似浏览器扩展资产的用户来说，此次事件强调了在重大更新前后审查安全措施的重要性。