Chrome 扩展程序 Trust Wallet：隐藏脚本已收集私钥，损失高达700万美元

严重的安全漏洞：版本2.68泄露用户种子短语

在2025年12月24-25日，Trust Wallet发布紧急警告，要求Chrome用户停止使用扩展程序的2.68版本。公司发现了一个在代码执行过程中存在的安全漏洞，导致用户的种子短语和私钥被非法收集。初步报告显示，在前48-72小时内，多个区块链上的总损失约为600万至700万美元。

Chrome Web Store上的Trust Wallet扩展目前约有100万用户安装。实际影响程度取决于有多少用户已更新到2.68版本并在漏洞存在期间输入了敏感信息。Trust Wallet确认移动端和其他平台未受到影响。

攻击机制：恶意JavaScript代码收集钱包秘密

安全研究人员在版本2.68的安装包中发现了可疑逻辑。具体来说，在一个包含“4482.js”文件的JavaScript文件中，分析人员发现该代码有可能将种子短语和私钥传输到外部服务器。

种子短语是一串词，能够解锁由其生成的所有当前和未来的地址。这意味着，如果种子短语被泄露，所有钱包和在不同链上的资产都可能被清空。检测团队已确认，安装后输入或恢复种子短语的用户风险最高。

必要行动：仅更新不足，必须转移资产

升级到2.69版本可以在未来移除恶意代码，但这不会自动保护资产，如果种子短语已被泄露。

如果你在使用2.68版本时输入或恢复了种子短语，应视为该种子已被泄露。标准的修复步骤包括：

• 完全创建一个新的种子短语
• 将所有资产转移到由新种子短语生成的新钱包
• 撤销在智能合约上的所有“(token approvals)”（授权）

这些操作可能因跨链转账而成本较高。用户需要权衡速度与Gas费用，尤其是在涉及跨链交易时。

“假救援”诈骗案件增加

事件发生的同时，二级诈骗手段也开始出现。骗子创建“修复故障”假域名，诱导用户提供种子短语，伪装成“钱包恢复支持”。

Trust Wallet提醒用户不要与任何非官方渠道的消息互动。攻击者可能伪装成Trust Wallet支持团队，集中受害者。务必核实任何涉及种子短语请求的来源。

更广泛的问题：扩展插件成为钱包安全的薄弱点

此次事件强调了浏览器扩展的基本风险。它们位于Web应用和签名流程之间的敏感位置，可能干预用户用以验证交易的信息。

关于Chrome Web Store的学术研究显示，恶意或被攻破的扩展可以规避自动审查。随着攻击策略的不断变化，检测能力也在下降。这在钱包更新中尤为令人担忧，因为客户端代码被篡改，使分析变得更加困难。

先例：软件分发流程的纪律性

此次事件也引发了对软件开发和分发完整性的质疑。长期解决方案可能包括：

• 构建可重现的(reproducible builds)
• 密钥分离(key separation)
• 更明确的回滚流程

这些措施将帮助供应商和平台建立更好的检测和用户指导方法。

市场数据：投资者仍“观望”

尽管事件严重，TWT(Trust Wallet Token)的市场反应复杂。根据2026年1月12日的最新数据：

• 当前价格：$0.89
• 24小时变化：+0.13%
• 24小时最高：$0.90
• 24小时最低：$0.86

这波动表明投资者尚未对Token进行单向定价。乐观迹象可能来自Trust Wallet的赔付承诺或对事件修复的信心。

损失预估：从$6-12百万到$25 百万+，未来2-8周

损失可能持续扩大，原因包括：

• 受害者的迟报
• 地址重新分类
• 改善跨链交易追踪能力

未来2-8周的实际预估范围可划分为以下几种情景：

这取决于：是否仅限于在v2.68中输入种子，是否存在其他攻击途径，以及假域名的清除速度。

事件时间线

• 12月24日：版本2.68上线；开始出现提款报告
• 12月25日：Trust Wallet发布2.69版本修复漏洞
• 48-72小时内：总损失估计约为600万至700万美元

Trust Wallet的最终建议

公司已确认约700万美元受影响，并承诺赔偿所有受害用户。Trust Wallet的指导如下：

1. 立即从Chrome中关闭版本2.68的扩展
2. 从Chrome Web Store更新到版本2.69
3. 如果在使用2.68时已输入种子短语：视为该种子已被泄露，创建新种子并转移资产
4. 不要与任何非官方渠道的消息互动——骗子可能伪装成支持团队
5. 等待官方渠道的赔偿指引

此次事件提醒我们，虽然扩展程序方便，但用户必须充分考虑相关的安全风险。