Trust Wallet扩展钱包遭黑客攻击：圣诞前夕安全警报引发市场关注

事件背景：圣诞前夕的钱包安全危机

北京时间今日凌晨，知名区块链安全研究员 @zachxbt 发布警示，称多名 Trust Wallet 用户报告其钱包资金被盗。随后，Trust Wallet 官方 X 账号确认，其浏览器扩展程序 2.68 版本存在严重安全漏洞，并紧急提醒所有用户立即禁用该版本，升级至 2.69 版本以避免风险。

技术攻防：恶意代码如何窃取助记词

慢雾安全团队迅速介入，对 2.67 与 2.68 版本核心代码进行比对分析。结果显示，攻击者在 2.68 版本中植入了隐蔽后门代码，该代码会在用户解锁钱包时，主动发起“获取助记词”请求。

攻击者利用用户输入的密码（password 或 passkeyPassword）解密助记词，并将解密后的私钥信息通过 error 字段发送至恶意域名 api.metrics-trustwallet.com。

进一步追踪发现，该恶意域名注册于 2025 年 12 月 8 日，服务商为 NICENIC INTERNATIONA。首次异常请求记录出现在 12 月 21 日，与代码植入时间高度吻合。

攻击流程复现：从解锁到数据外泄

动态分析显示，当用户解锁钱包后，系统调用 GET_SEED_PHRASE 函数获取助记词，攻击者将其捕获并填充至 errorMessage 字段，再通过 emit 调用发送至远程服务器。

使用 BurpSuite 抓包验证，请求体中包含完整的助记词信息，目标地址为 https://api.metrics-trustwallet.com，证实数据外泄路径清晰。

此外，攻击者还集成开源全链路分析工具 PostHogJS，用于持续采集用户行为与钱包信息，表明攻击具备长期潜伏与数据收集能力。

被盗资产规模与转移路径

根据 ZachXBT 公布的黑客地址追踪，截至发稿，比特币主链被盗约 33 BTC（价值约 300 万美元），Solana 链损失约 431 美元，Ethereum 主网及 Layer 2 等多条链合计被盗逾 300 万美元。

黑客通过中心化交易所与跨链桥完成资产洗白与兑换，资金流动路径复杂，增加了追查难度。

事件定性：疑似专业级 APT 攻击

此次攻击并非因第三方依赖包被篡改所致，而是直接修改 Trust Wallet 自身源码库，且利用合法工具实现数据外传。结合攻击者提前注册域名、长期潜伏等特征，极有可能是针对开发环境或发布流程的高级持续性威胁（APT）。

我们推测，攻击者可能早在 12 月 8 日前已获取开发人员设备权限或发布账户控制权，从而实现精准植入。

用户应对建议：立即行动保障资产安全

1. 立即断开网络，排查当前安装的 Trust Wallet 扩展钱包版本。 2. 若使用 2.68 版本，请立即卸载并导出私钥或助记词备份。 3. 将资金转移至其他经过审计的冷钱包或可信热钱包，确保资产存储安全。 4. 建议定期检查钱包授权列表，警惕未授权访问风险。

行业影响与未来展望

本次事件再次凸显去中心化金融生态中“资产存储”环节的脆弱性。尽管比特币价格走势保持相对稳定，但此类安全事件可能引发短期交易活动波动，尤其在节日期间更易放大用户恐慌情绪。

随着网络升级与监管趋严，开发者需加强代码审计与发布流程管控。同时，用户应提升安全意识，避免过度依赖单一钱包服务。未来，零知识证明、硬件签名等技术或将加速应用于钱包安全体系，推动市场趋势向更高安全标准演进。