惡意代碼藏身于更新文件
開發者在審查擴展程序源碼時發現,新增的JavaScript文件包含偽裝成分析工具的隱蔽邏輯。該代碼會在用戶操作助記詞導入時觸發,將錢包私鑰、地址等關鍵信息發送至一個新注冊的外部域名。該域名外觀與Trust Wallet官方基礎設施高度相似,具有極強欺騙性,現已下線。用戶報告:資金迅速清空
多名用戶反映,在導入助記詞后數分鐘內,其錢包余額被清空。區塊鏈分析顯示,被盜資金通過多個中間地址快速轉移,呈現典型的自動化攻擊特征,而非個別用戶誤操作所致。初步估算損失金額可能超過200萬美元,但尚未獲得獨立驗證。影響范圍限于瀏覽器擴展
截至目前,未發現Trust Wallet移動應用存在類似問題。研究人員認為,瀏覽器擴展因依賴第三方包管理與自動更新機制, 
官方尚未回應,調查持續進行
截至發稿,Trust Wallet未發布任何官方聲明,也未宣布回滾更新、發布補丁或啟動應急響應。這一沉默狀態加劇了社區擔憂。研究人員強調,當前仍需基于鏈上行為與代碼審計結果謹慎判斷,避免過早定論。對市場趨勢與用戶信心的影響
若該指控屬實,這將是近年來最嚴重的錢包供應鏈攻擊案例之一,凸顯“信任鏈”在去中心化生態中的脆弱性。此類事件可能引發用戶對非核心應用組件的安全審查,推動更多機構加強代碼透明度與第三方審計流程。同時,也可能加劇市場對交易活動與長期持有行為的波動預期,影響比特幣波動走勢。建議用戶立即采取防護措施
在官方澄清前,強烈建議用戶暫停使用Trust Wallet瀏覽器擴展程序,尤其避免導入助記詞。如已使用,應盡快將資產轉移至可信的本地錢包或硬件設備,并啟用雙重身份驗證機制。 總結:此次事件暴露了加密資產存儲環節的深層風險,尤其是依賴外部更新機制的瀏覽器插件。隨著監管新政對數字資產安全提出更高要求,此類事件或將推動行業建立更嚴格的開發規范與應急響應機制。鄭重聲明:本文版權歸原作者所有,轉載文章僅為傳播更多信息之目的,如作者信息標記有誤,請第一時間聯系我們修改或刪除,多謝。
