【安全资讯】Trust Wallet浏览器扩展遭供应链攻击，导致700万美元加密货币被盗

概要：

在2025年圣诞节前夕，一场精心策划的供应链攻击席卷了加密货币领域。全球广泛使用的非托管钱包Trust Wallet确认，其Chrome浏览器扩展程序的一个恶意更新版本（v2.68.0）导致用户资金被盗，损失高达700万美元。此次事件不仅暴露了软件供应链的脆弱性，攻击者还同步发起了钓鱼攻击，利用用户的恐慌心理进一步窃取资产，凸显了数字资产安全面临的严峻挑战。

主要内容：

事件始于12月24日，Trust Wallet在Chrome网上应用店发布了扩展程序v2.68.0版本。用户更新后不久，便开始在社交媒体上报告资金被盗。安全研究人员迅速介入，在名为4482.js的打包JavaScript文件中发现了恶意代码。该代码伪装成分析脚本，实则将用户的敏感钱包数据（包括种子短语）外泄至一个名为api.metrics-trustwallet[.]com的外部服务器。此域名在事发前几天才被注册，极不寻常。

此次攻击的核心在于攻击者成功入侵了Trust Wallet的扩展程序更新流程，将恶意代码注入官方版本。当用户导入钱包种子短语时，恶意代码便被触发，窃取关键信息。这种供应链攻击方式绕过了用户对官方渠道的信任，使得防御极为困难。Trust Wallet随后紧急发布了修复版本v2.69，并建议受影响用户立即更新。

与此同时，攻击者发动了协同钓鱼攻击。他们注册了仿冒域名fix-trustwallet[.]com，伪装成官方修复页面，诱骗用户输入钱包种子短语以“修复漏洞”。该域名与数据外泄域名使用同一注册商，表明很可能为同一攻击团伙所为。这种组合拳攻击极大地增加了用户的财产损失风险。

此次事件的影响是直接且重大的，已确认造成至少700万美元的加密货币损失。Trust Wallet承诺对受影响用户进行赔付。事件暴露了加密货币钱包，特别是浏览器扩展这类高权限组件，在供应链安全上的重大隐患。用户被建议立即检查扩展版本，更新至v2.69，若怀疑受损，需将剩余资金转移至使用全新种子短语创建的新钱包中。