浏览器扩展如何被攻破并盗取700万美元加密货币

在一次打破节日宁静的惊人安全事件中，由行业巨头币安拥有的核心加密货币钱包Trust Wallet证实发生了一起灾难性的安全故障。其Chrome浏览器扩展程序的一次被黑客入侵的更新，引发了一场700万美元的数字劫案，这是一次精密的供应链攻击，耗尽了用户资金，并在加密货币世界引发了冲击波。该事件于平安夜曝光，暴露了我们赖以守护数字财富的关键软件背后脆弱的信任基础。

盗窃时间线

危机始于2025年12月24日，Trust Wallet Chrome扩展程序2.68.0版本悄然发布。作为领先的非托管钱包，Trust Wallet为数百万用户提供对去中心化应用（dApps）和资产管理的访问。几小时内，社交媒体变成了恐慌的论坛。用户报告称，在进行常规交易后，眼睁睁看着资产瞬间消失，早期众筹估计的损失超过200万美元，并且正在迅速攀升。

安全社区敲响了警钟。分析师Akinator公开发出呼吁，要求所有用户立即停止使用该扩展程序。Trust Wallet在最初的沉默之后，悄悄地向Chrome网上应用店推送了2.69版本。官方确认于12月25日通过币安创始人赵长鹏“CZ”的社交媒体帖子到来，他将损失定为700万美元，并明确表示：“TrustWallet将承担损失。”

剖析骗局

取证分析揭示了攻击机制：一次典型的供应链攻击。黑客侵入了扩展程序的更新管道，将恶意代码嵌入到官方2.68.0版本包中。

恶意负载的核心隐藏在一个名为4482.js的捆绑JavaScript文件中。该文件包含经过混淆处理的代码，旨在执行一个毁灭性的伎俩。它伪装成良性的分析软件，但实际上积极监控最敏感的用户操作：输入或使用钱包的私密恢复助记词。一旦检测到，它就会窃取这些数字密钥，并将其传输到域名api.metrics-trustwallet[.]com的服务器。

关键调查显示，该域名在攻击发生前几天才被注册，并且与Trust Wallet没有合法的关联。这是一个完美的陷阱：来自受信任扩展程序内部的恶意代码，绕过了用户的怀疑，窃取了将赋予攻击者完全控制钱包权限的数据。

黑客之上的钓鱼攻击

为了展示冷酷的效率，威胁行为者还发动了并行的网络钓鱼攻击，以利用公众的困惑。随着警告在网络上流传，欺诈性的社交媒体账户将受困扰的用户引导至一个仿冒网站fix-trustwallet[.]com。

该网站专业地模仿了Trust Wallet的品牌形象，并承诺提供一个针对该漏洞的关键安全补丁。点击“更新”的用户会看到一个公然要求其私密恢复助记词的表格。这种试图“双重获利”的做法——既窃取受损扩展程序受害者的资产，也窃取寻求修复的谨慎用户的资产——突显了攻击者精于算计的冷酷。WHOIS数据将此钓鱼域名与恶意的“metrics”域名联系起来，表明两个骗局背后是同一个协调的行动者。

后果与漏洞剖析

CZ的赔偿保证（“用户资金是安全的”）解决了眼前的财务损失，但并未解决更深层次的信任破裂。该事件凸显了浏览器扩展钱包模式的内在风险。扩展程序在设计上拥有与网站和区块链网络交互的高权限，但这也创造了一个广泛且具有吸引力的攻击面。一个被攻破的扩展程序就变成了在用户浏览器内部运作的特洛伊木马，能够观察每一个动作并窃取每一个秘密。

这次攻击给整个生态系统提出了深刻的问题：恶意更新是如何通过Trust Wallet内部安全检查的？Chrome网上应用店的审核流程中哪些保障措施失效了？这一事件迫使人们重新评估我们在何处以及如何存储数字价值，将讨论推向更隔离、更安全的解决方案，例如使用硬件钱包来存储重要资产。

对于在这个新现实中前行的用户来说，需要采取具体而立即的行动。首先，任何使用Trust Wallet Chrome扩展程序的个人必须验证其运行的是2.69或更高版本。如果扩展程序仍为2.68版本，切勿打开它，并应立即通过官方Chrome网上应用店进行更新。

加密货币的基本原则仍然至关重要：私密恢复助记词绝不能在任何非官方钱包界面以外的地方输入。 任何合法的更新、网站或客服代表都绝不会索要它。任何在恶意扩展程序或任何网站上输入过其助记词的人，都必须认为该助记词已永久性泄露。唯一的补救措施是将所有资产转移到一个由全新的、离线创建的种子短语生成的新钱包中。

这一事件是一个发人深省的提醒：在数字资产领域，安全是一场不懈的实践。它强调了对紧急更新保持怀疑的必要性，使用硬件钱包存储大额资金的重要性，以及始终核实官方沟通渠道的关键习惯。平安夜被盗的700万美元不仅仅是一个统计数字；它是在数字未来的架构中，我们信任真正所处之地的教训的代价。