12月25日,知名区块链调查员ZachXBT披露一项与Trust Wallet浏览器扩展程序更新相关的异常活动,引发市场对钱包安全性的高度关注。该问题源于12月24日发布的版本中引入的潜在供应链漏洞,相关代码被指在用户导入助记词后激活,窃取敏感资产存储信息并外传至伪装域名。

恶意代码藏身于更新文件

开发者在审查扩展程序源码时发现,新增的JavaScript文件包含伪装成分析工具的隐蔽逻辑。该代码会在用户操作助记词导入时触发,将钱包私钥、地址等关键信息发送至一个新注册的外部域名。该域名外观与Trust Wallet官方基础设施高度相似,具有极强欺骗性,现已下线。

用户报告:资金迅速清空

多名用户反映,在导入助记词后数分钟内,其钱包余额被清空。区块链分析显示,被盗资金通过多个中间地址快速转移,呈现典型的自动化攻击特征,而非个别用户误操作所致。初步估算损失金额可能超过200万美元,但尚未获得独立验证。

影响范围限于浏览器扩展

截至目前,未发现Trust Wallet移动应用存在类似问题。研究人员认为,浏览器扩展因依赖第三方包管理与自动更新机制,

更容易成为供应链攻击目标。相较之下,移动应用通常具备更严格的代码签名与分发控制。

官方尚未回应,调查持续进行

截至发稿,Trust Wallet未发布任何官方声明,也未宣布回滚更新、发布补丁或启动应急响应。这一沉默状态加剧了社区担忧。研究人员强调,当前仍需基于链上行为与代码审计结果谨慎判断,避免过早定论。

对市场趋势与用户信心的影响

若该指控属实,这将是近年来最严重的钱包供应链攻击案例之一,凸显“信任链”在去中心化生态中的脆弱性。此类事件可能引发用户对非核心应用组件的安全审查,推动更多机构加强代码透明度与第三方审计流程。同时,也可能加剧市场对交易活动与长期持有行为的波动预期,影响比特币波动走势。

建议用户立即采取防护措施

在官方澄清前,强烈建议用户暂停使用Trust Wallet浏览器扩展程序,尤其避免导入助记词。如已使用,应尽快将资产转移至可信的本地钱包或硬件设备,并启用双重身份验证机制。 总结:此次事件暴露了加密资产存储环节的深层风险,尤其是依赖外部更新机制的浏览器插件。随着监管新政对数字资产安全提出更高要求,此类事件或将推动行业建立更严格的开发规范与应急响应机制。