Trust Wallet 钱包曝严重后门！超 600 万美元资产被盗，官方版本竟成黑客攻击目标？

（2025 年 12 月 26 日） –  加密货币钱包 Trust Wallet 于今日凌晨发布紧急安全警报，确认其浏览器扩展 2.68 版本存在严重安全漏洞。官方敦促所有使用该版本的用户立即停止使用并尽快通过 Chrome 网上应用店官方渠道升级至 2.69 安全版本！

据区块链安全机构派盾（PeckShield）监测，攻击者已利用此漏洞从受害者处窃取了价值超过 600 万美元的加密资产。目前，约 280 万美元的被盗资金仍滞留在黑客的钱包地址中（涉及比特币、EVM 兼容链及 Solana），另有超过 400 万美元的资产已被迅速转移至多个中心化交易平台进行洗钱，其中包括：

• 约 330 万美元转入 ChangeNOW

• 约 44.7 万美元转入 Kucoin

• 约 34 万美元转入 FixedFloat

官方版本何以成为黑客的后门？

随着事件发酵，安全团队慢雾（SlowMist）对新旧版本的代码进行了深入审计。通过对比存在漏洞的 2.68.0 版本与已修复的 2.69.0 版本，分析人员发现，攻击者在官方代码中植入了一段伪装成数据采集服务的恶意代码。如图

该后门代码利用了一个名为 PostHog 的数据分析工具，秘密采集用户的敏感信息，其中甚至包括钱包的助记词。所有窃取的数据都被发送至攻击者控制的服务器 api.metrics-trustwallet[.]com。

慢雾安全团队根据代码变更和链上活动，推演出以下攻击时间线：

• 12 月 8 日： 攻击者开始进行准备工作。

• 12 月 22 日： 植入后门的 2.68 版本成功通过审核并上线。

• 12 月 25 日： 攻击者利用圣诞假期，开始大规模使用窃取的助记词盗取用户资金。

慢雾科技首席信息安全官 23pds 指出，攻击者对 Trust Wallet 的扩展源码非常熟悉，这表明 Trust Wallet 的开发人员设备或代码仓库极有可能已被渗透。他强烈建议受影响的用户：

1. 立即断开网络连接。

2. 在离线状态下，导出助记词并将资产转移至一个全新的、安全的钱包。

3. 完成资产转移后，再进行钱包扩展的升级操作。

值得注意的是，尽管 2.69.0 修复版切断了恶意数据传输，但并未完全移除 PostHog 的相关代码库。

历史重演：当官方渠道不再可信

此次 Trust Wallet “官方投毒” 事件，再次暴露了加密行业在软件供应链安全方面的脆弱性，也让市场联想到了多起类似的高危攻击。

• 供应链攻击：

  • Ledger Connect Kit 事件（2023 年 12 月）： 硬件钱包巨头 Ledger 的一个前端代码库因员工遭遇钓鱼攻击而被植入恶意代码，导致 SushiSwap 等多个主流 dApp 前端受到污染，给用户造成了巨大损失。该事件是典型的供应链攻击案例。

  • Hola VPN 扩展被劫持（2018 年）： 知名 VPN 服务 Hola 的 Chrome 扩展同样因开发者账号被黑而推送了恶意更新，专门用于监控并窃取 MyEtherWallet 用户的私钥。

• 代码自身缺陷：

  • Slope 钱包助记词泄露（2022 年 8 月）： Solana 生态曾爆发大规模盗币事件，调查指向 Slope 钱包的某版本会通过日志系统将用户的助记词以明文形式发送至其 Sentry 监控服务器。

  • Trust Wallet 历史漏洞（CVE-2023-31290）： Trust Wallet 浏览器扩展此前曾被曝出存在密钥生成过程中的熵不足问题，导致攻击者可以暴力破解特定版本生成的钱包地址。

安全警示：在黑暗森林中保持警惕

从官方渠道下载的软件本身成为作恶工具，极大地压缩了用户的安全空间。当“李鬼”伪装成“李逵”，用户防不胜防。此类事件发生后，利用用户恐慌情绪进行二次诈骗的钓鱼活动也往往激增。

无论是 Slope 的明文日志，还是 Trust Wallet 此次的恶意后门，历史的教训反复警示我们：在加密世界，不应盲目信任任何单一的软件或硬件终端。每一位用户都必须建立自己的安全防线，这包括：

• 分散资产： 不要将所有鸡蛋放在同一个篮子里，使用多个钱包分散存储资产。

• 定期审查授权： 定期检查并取消不必要的或可疑的 dApp 合约授权。

• 保持警惕： 对任何软件的异常更新保持警惕，并优先从官方、可信的渠道获取信息。

截至发稿时，Trust Wallet 官方仍在持续敦促用户升级，而被盗资金的链上异动仍在继续。这场“圣诞劫”的余波，远未结束。