Trust Wallet 首批賠償完成！v2.68 漏洞索賠 2 月 14 日截止

Trust Wallet 完成首批 v2.68 漏洞赔偿，已收到 95% 索赔申请，截止日期 2 月 14 日。官方强调受影响钱包已不安全，需立即使用「资产迁移」功能转移资金。事件影响上百人损失约 600 万美元，攻击者通过恶意脚本窃取助记词。

v2.68 安全漏洞完整事件回顾

Trust Wallet 今年 1 月初发出重大安全警报，证实其浏览器扩展功能 2.68 版存在严重漏洞，导致用户资产外流。链上侦探 ZachXBT 追踪显示，受害者已达上百人，损失金额首次估算约 600 万美元。官方通告指出，受影响对象为手机端安装 2.68 版扩展的用户。

攻击者于打包流程中插入名为 4482.js 的文件，并声称用于「Analytics」。它在检测到用户输入助记词时，将资料传送至已注册的域名 metrics-trustwallet.com，再借助自动化脚本在 EVM 兼容链、Bitcoin 与 Solana 上快速提取资产。这种攻击手法极为隐蔽，因为恶意脚本伪装成正常的数据分析工具，在官方更新流程中潜入。

Trust Wallet 在公告中强调：「我们已发布 2.69 版修补，请所有浏览器扩展用户立即升级。」如果您也是 Trust Wallet 用户并已安装 2.68 版，请勿导入助记词，最好通过 Chrome 网上应用店的官方链接进行升级。在受污染环境中导入的助记词最好视为泄露，建议创建全新钱包并将余额迁移。

v2.68 漏洞攻击手法解析

渗透方式：攻击者在官方打包流程中插入恶意脚本 4482.js

伪装策略：声称用于 Analytics 数据分析，降低审查疑虑

窃取机制：监听用户输入助记词动作，即时传送至黑客控制的域名

资产转移：自动化脚本在 EVM、Bitcoin、Solana 等多链快速提取资产

影响范围：仅限 2.68 版浏览器扩展用户，移动应用未受影响

这种攻击方式的可怕之处在于它利用了用户对官方更新的信任。用户通常认为来自官方渠道的更新是安全的，不会仔细检查更新内容。攻击者正是利用这种信任，将恶意代码混入正常的软件更新中。

首批赔偿完成 95%，资金已申请索赔

1 月 15 日，Trust Wallet 就其浏览器扩展程序 2.68 版本中的安全漏洞发布了最新消息：「符合条件的用户的第一批补偿已经完成，剩余的索赔仍在分批审核和处理当中。受浏览器扩展程序 2.68 版本事件影响的钱包不应再使用。」

首批赔偿的完成标志着 Trust Wallet 正在兑现对用户的承诺。然而，「符合条件」这个限定词暗示并非所有受影响用户都能获得赔偿。通常，符合条件的标准包括：能够证明资产确实因 v2.68 漏洞而被盗、损失发生在特定时间窗口内、以及提供了完整的证明材料。部分用户可能因为无法提供充分证据或损失时间不符而被排除。

目前已收到约 95% 受影响资金的索赔申请。这个高比例显示 Trust Wallet 的通知工作做得相对到位，绝大多数受影响用户都已意识到问题并提交了索赔。剩余 5% 可能是因为用户未察觉损失、无法提供证明材料、或已放弃索赔。

Trust Wallet 设置索赔提交截止日期为 2026 年 2 月 14 日。这个截止日期距离当前约一个月，为尚未提交索赔的用户提供了最后机会。截止日期的设定是标准的风险管理措施，使公司能够明确赔偿总额并关闭索赔窗口。用户应尽快检查是否受影响并提交索赔，逾期可能无法获得赔偿。

受影响钱包已不安全，资产迁移刻不容缓

官方强调，受影响钱包已不再安全，用户需立即更新至最新版本并利用新推出的「资产迁移（Migrate assets）」功能转移资金，废弃旧钱包。「如果您仍在浏览器扩展或移动应用上使用受影响的钱包，请立即更新至最新版本，将您的资金迁移到新钱包，并停止使用旧的、已被入侵的钱包。」

为何受影响钱包永久不安全？一旦助记词在受污染环境中被暴露，就必须假设攻击者已经掌握了这些信息。即使当前攻击者已经提取了资产，助记词可能已经被出售或分享给其他黑客。未来任何时候，只要该钱包中有资产，都可能再次被盗。因此，唯一安全的做法是完全废弃受污染的钱包，创建全新钱包并转移所有资产。

Trust Wallet 新增了「迁移资产」功能，使用户能够安全地将受 Trust Wallet 浏览器扩展程序 v2.68 安全事件影响的钱包中的资金转移到安全钱包。这个专门的迁移工具简化了转移流程，用户无需手动发送每个资产，而是可以批量迁移。这种设计考虑到许多用户可能持有多种代币，逐一转移既费时又可能遗漏。

资产安全迁移三步骤

第一步：更新至最新版本：通过 Chrome 网上应用店官方链接升级至 2.69 版或更高

第二步：创建全新钱包：生成新助记词，切勿在旧设备或受污染环境中创建

第三步：使用迁移功能：通过「资产迁移」工具批量转移所有代币，确认完成后永久废弃旧钱包

官方建议在完全解决问题前，可以先将资产转移到其他品牌钱包。这一建议显示 Trust Wallet 对用户资产安全的重视超过了对自身产品的推广。暂时使用竞争对手的钱包，等待 Trust Wallet 完全解决安全问题后再回归，是最谨慎的做法。

600 万美元损失凸显供应链攻击威胁

目前个别受害者回报损失从数万到数十万美元不等，总损失约 600 万美元。这个数字虽然在大型交易所黑客事件中不算最高，但对于个人钱包用户而言已是灾难性。更令人担忧的是，这次攻击针对的是官方更新渠道，意味着即使是谨慎的用户也难以防范。

供应链攻击是当前网络安全领域最棘手的威胁之一。与传统的钓鱼攻击或恶意软件不同，供应链攻击针对软件开发和分发过程，在用户信任的官方渠道中植入恶意代码。这种攻击方式极难防范，因为用户无法区分官方更新和被污染的版本。

Trust Wallet 事件暴露了加密钱包行业在供应链安全方面的薄弱环节。软件打包流程、代码审查机制、以及更新分发渠道都需要更严格的安全措施。对于整个行业而言，这是一记警钟，提醒所有钱包提供商必须加强开发流程的安全性。

对于用户而言，这次事件的教训是：永远不要在任何环境中输入助记词，除非绝对必要。最佳实践是使用硬件钱包存储大额资产，软件钱包仅用于日常小额交易。此外，定期检查钱包余额，一旦发现异常立即转移资产，不要等待官方通知。