loading...
北京时间今日凌晨,知名区块链安全研究员 @zachxbt 发布警示,称多名 Trust Wallet 用户报告其钱包资金被盗。随后,Trust Wallet 官方 X 账号确认,其浏览器扩展程序 2.68 版本存在严重安全漏洞,并紧急提醒所有用户立即禁用该版本,升级至 2.69 版本以避免风险。
慢雾安全团队迅速介入,对 2.67 与 2.68 版本核心代码进行比对分析。结果显示,攻击者在 2.68 版本中植入了隐蔽后门代码,该代码会在用户解锁钱包时,主动发起“获取助记词”请求。
攻击者利用用户输入的密码(password 或 passkeyPassword)解密助记词,并将解密后的私钥信息通过 error 字段发送至恶意域名 api.metrics-trustwallet.com。
进一步追踪发现,该恶意域名注册于 2025 年 12 月 8 日,服务商为 NICENIC INTERNATIONA。首次异常请求记录出现在 12 月 21 日,与代码植入时间高度吻合。
动态分析显示,当用户解锁钱包后,系统调用 GET_SEED_PHRASE 函数获取助记词,攻击者将其捕获并填充至 errorMessage 字段,再通过 emit 调用发送至远程服务器。
使用 BurpSuite 抓包验证,请求体中包含完整的助记词信息,目标地址为 https://api.metrics-trustwallet.com,证实数据外泄路径清晰。
此外,攻击者还集成开源全链路分析工具 PostHogJS,用于持续采集用户行为与钱包信息,表明攻击具备长期潜伏与数据收集能力。
根据 ZachXBT 公布的黑客地址追踪,截至发稿,比特币主链被盗约 33 BTC(价值约 300 万美元),Solana 链损失约 431 美元,Ethereum 主网及 Layer 2 等多条链合计被盗逾 300 万美元。
黑客通过中心化交易所与跨链桥完成资产洗白与兑换,资金流动路径复杂,增加了追查难度。
此次攻击并非因第三方依赖包被篡改所致,而是直接修改 Trust Wallet 自身源码库,且利用合法工具实现数据外传。结合攻击者提前注册域名、长期潜伏等特征,极有可能是针对开发环境或发布流程的高级持续性威胁(APT)。
我们推测,攻击者可能早在 12 月 8 日前已获取开发人员设备权限或发布账户控制权,从而实现精准植入。
1. 立即断开网络,排查当前安装的 Trust Wallet 扩展钱包版本。 2. 若使用 2.68 版本,请立即卸载并导出私钥或助记词备份。 3. 将资金转移至其他经过审计的冷钱包或可信热钱包,确保资产存储安全。 4. 建议定期检查钱包授权列表,警惕未授权访问风险。
本次事件再次凸显去中心化金融生态中“资产存储”环节的脆弱性。尽管比特币价格走势保持相对稳定,但此类安全事件可能引发短期交易活动波动,尤其在节日期间更易放大用户恐慌情绪。
随着网络升级与监管趋严,开发者需加强代码审计与发布流程管控。同时,用户应提升安全意识,避免过度依赖单一钱包服务。未来,零知识证明、硬件签名等技术或将加速应用于钱包安全体系,推动市场趋势向更高安全标准演进。
473
904
740
371
892
604
489
744
225
838
