Trust Wallet源码遭攻击，超600万美元被盗

2025年12月26日，Trust Wallet发布安全警报，确认其浏览器扩展2.68版本存在严重安全漏洞，建议用户立即禁用并升级至2.69版本。黑客已通过该漏洞盗走超600万美元的加密资产，其中约280万美元仍在黑客钱包，其余资金已流入中心化交易所，包括ChangeNOW、FixedFloat和Kucoin。

链熵科技对比2.68.0(受感染版本)与2.69.0(修复版本)源码发现，黑客在旧版本中植入伪装极强的后门代码，通过PostHog收集用户敏感信息(助记词、钱包数据)并发送至攻击者服务器。攻击时间线显示，黑客12月8日开始准备，12月22日上线受感染版本，12月25日借圣诞假期开始转移资金。慢雾分析认为，攻击者对Trust Wallet源码非常熟悉，开发人员设备或代码仓库可能已被入侵。

事件暴露了官方渠道软件投毒的风险，即便用户下载正版软件也可能中招。历史上类似案例包括Ledger Connect Kit和Hola VPN/Mega扩展，黑客通过官方更新包植入恶意代码，窃取用户私钥或助记词。

此外，钱包自身设计缺陷同样可能导致资产风险。例如Slope Wallet曾被曝将敏感信息发送至日志服务，Trust Wallet早前也存在低熵密钥生成漏洞(CVE-2023-31290)，攻击者可通过枚举方式推导钱包地址。

这类事件凸显扩展钱包生态长期存在的灰色链路风险，如假插件、假更新、钓鱼网站等。Trust Wallet官方已敦促用户尽快升级，但随着链上资金持续异动，风险仍未完全解除。

安全专家建议用户先断网再导出助记词并转移资产，定期检查钱包授权、分散存储资产，并保持对版本更新和异常行为警惕。无论是明文日志泄露，还是官方版本被植入后门，这类事件都提醒加密用户：单一软件终端不可盲目信任，谨慎操作才是保护资产的关键。

ChainSafeAI(链熵科技)专注于区块链生态安全，以数据驱动+技术赋能构建360°全方位安全防护体系，服务于交易所、金融机构、OTC服务商及加密资产投资者。公司提供覆盖KYT风险监测、智能合约审计、加密资产追踪、区块链漏洞测试等在内的全维度安全与合规技术解决方案，助力客户防范洗钱、诈骗等风险，保障业务合规运行。通过实时风险预警、合规审查与资金溯源分析，协助客户识别链上异常行为、防范洗钱及诈骗风险、降低被盗损失并提升资产追回可能性。