据Trust Wallet官方公告及链上数据披露,其Chrome浏览器扩展程序2.68版本于2025年12月25日遭遇供应链攻击,攻击者通过植入恶意代码窃取用户助记词,导致约700万美元资产被盗。目前,平台已正式开放索赔通道,受影响用户可通过官网提交申请。以下是关键细节与用户操作指南:
攻击路径与漏洞性质攻击者利用Trust Wallet开发者账号权限,在2.68版本更新中嵌入伪装成分析工具的恶意代码(如4482.js文件)。该代码会在用户导入或使用助记词时,将敏感信息传输至api.metrics-trustwallet.com等非法服务器。此次攻击属于典型的供应链攻击,暴露了中心化发布链路的脆弱性。
损失规模与资产流向链上追踪显示,约700万美元资产(包括BTC、ETH、SOL等)被转移至多个中心化交易所(如KuCoin、ChangeNOW),其中超400万美元已进入洗钱流程。Binance创始人CZ确认,所有损失将通过Binance用户安全基金(SAFU)全额覆盖。
受影响范围与版本识别仅使用Chrome浏览器扩展2.68版本(2025年12月24日发布)的用户受影响,移动端应用及其他版本未受波及。用户可通过扩展程序设置页面查看版本号,若为2.68或更新时间吻合,需立即采取行动。
申请条件与材料准备
索赔资格:2025年12月24日至26日期间使用过2.68版本扩展程序,并因助记词泄露导致资产损失的用户。
证明材料:需提供被盗钱包地址、攻击者收款地址、相关交易哈希(可通过Etherscan等区块链浏览器查询)、注册邮箱及居住国家/地区。
申请步骤与审核机制
提交申请:访问Trust Wallet官网(support.trustwallet.com),通过官方表单填写信息并上传证明文件。
审核流程:申请将由安全团队交叉验证,包括链上交易数据比对、钱包所有权确认等,预计72小时内完成。
赔偿发放:审核通过后,资金将在1-3个工作日内发放至用户指定的新安全钱包地址(需使用全新助记词创建)。
风险提示与防骗要点
警惕钓鱼陷阱:官方不会通过邮件、社交媒体或短信索要助记词、私钥或密码。若收到要求提供敏感信息的请求,可通过官网举报。
资产迁移建议:所有受影响用户应立即将剩余资产转移至硬件钱包或全新的Trust Wallet 2.69版本,并彻底删除2.68版本扩展。
紧急响应与版本升级
漏洞发现后,Trust Wallet迅速下架2.68版本,强制推送2.69版本更新,修复了助记词窃取逻辑并加强代码签名验证。
建议用户通过Chrome浏览器“开发者模式”手动更新,确保获取安全版本。
长期安全改进措施
去中心化发布机制:计划引入多签钱包管理扩展发布权限,避免单一账号被攻击导致全局风险。
实时风险监控:未来将集成AI驱动的安全扫描仪,对异常交易和恶意合约进行实时拦截Trust Wallet。
社区沟通与透明度
官方每日更新事件进展报告,包括被盗资金追踪情况、赔偿进度及技术复盘内容。
设立专项客服通道(support trustwallet.com),优先处理索赔咨询和资产恢复请求Trust Wallet。
短期应对策略
断网导出助记词:在完全离线环境下导出助记词,避免联网状态下操作旧版本扩展。
多签钱包配置:对于大额资产,建议使用Gnosis Safe等多签钱包,需至少两个独立钱包签名才能执行交易。
长期安全实践
冷热分层管理:日常小额资金使用热钱包(如移动端应用),大额资产存储于硬件钱包或离线冷存储。
更新风险控制:关闭浏览器扩展自动更新,仅在确认官方公告后手动升级,并通过Checkmarx等工具验证代码完整性。
行业影响与合规趋势此次事件可能加速监管对钱包服务商的审查。例如,美国CFTC近期提出的《CLARITY法案》要求钱包必须通过第三方安全审计,并披露私钥存储方式。此外,跨链桥和DeFi协议的开发者需重新评估依赖项安全,避免类似事件重演。
Trust Wallet的此次事件再次警示,即使是去中心化钱包,也无法完全规避供应链风险。用户需在便捷性与安全性间找到平衡,通过多签、分层存储等手段降低单点故障影响。对于行业而言,建立更透明的发布机制和跨平台协作的安全响应网络,将成为未来发展的关键。