圣诞节当天,币安旗下拥有2.2亿用户的Trust Wallet浏览器扩展遭遇精心策划的攻击,导致用户损失高达700万美元。更令人不安的是,安全公司SlowMist指出,恶意扩展程序还在窃取用户个人信息,暗示可能存在“内鬼”活动。币安联合创始人赵长鹏(CZ)已公开承诺将覆盖此次损失。这一事件再次将加密货币钱包的安全性问题推至风口浪尖。
据链上侦探ZachXBT分析,此次事件影响了“数百名”Trust Wallet用户。区块链安全公司SlowMist的联合创始人余弦(Yu Xian)在X平台上披露,攻击者最早在12月8日就开始准备此次漏洞利用。值得注意的是,攻击代码不仅窃取资金,还收集用户个人信息并发送至攻击者的服务器。Trust Wallet官方已建议用户将浏览器扩展版本从受影响的2.68升级至安全的2.89版本。
此次事件并非孤立。据Chainalysis数据,若排除2月份Bybit遭窃的14亿美元这一特大案例,2025年个人钱包被盗金额已占所有被盗加密资产总值的37%。尽管Trust Wallet的700万美元损失与2024年2月Axie Infinity联合创始人Jeff Zirlin因疑似钱包漏洞损失970万美元ETH等大案相比不算最高,但它凸显了针对个人钱包的攻击正成为日益严峻的威胁。市场分析指出,随着加密资产普及,钱包作为资产存储的核心入口,其安全性已成为投资者首要关注点。
分析师指出,本次事件最令人警惕的是其潜在的“内鬼”迹象。多位行业观察者,包括跨政府区块链顾问Anndy Lian,都指出攻击者能够向官网提交新版Trust Wallet扩展,这“很不自然”,内部人员作案的可能性很高。赵长鹏(CZ)也同意这一漏洞“很可能”是内部人所为。SlowMist的余弦补充道,攻击者“非常熟悉Trust Wallet扩展的源代码”,这使其能顺利植入用于收集敏感信息的后门代码。
展望未来,加密钱包安全将面临更复杂的挑战。投资者应关注的不再仅是外部黑客攻击,供应链攻击和潜在的内部威胁正重塑安全格局。随着行业合规与安全标准提升,钱包服务商必须加强代码审计、内部权限管理和实时威胁监控。对于普通用户而言,及时更新官方应用、使用硬件钱包存储大额资产、并谨慎对待浏览器扩展权限,是保护自身资产的关键防线。Trust Wallet事件虽以项目方承诺赔付暂告段落,但它为整个加密行业敲响了安全警钟。
