從「信任」到失信 Trust Wallet被盜700萬美元一覽

鄧通,金色財經

2025年12月26日,鍊上偵探ZachXBT在社交媒體上發文表示,過去幾個小時內,多位 Trust Wallet 用戶報告稱其錢包地址中的資金被盜。 隨後補充道:「至少有超過600萬美元被盜,損失來自數百名Trust Wallet用戶。 如果最終認定Trust Wallet對此事件負有責任,希望他們能向所有受害者提供賠償。 由於被盜地址眾多,很難徹底查清損失情況。」

一、Trust Wallet 被盜事件的多方反應

1.Trust Wallet 官方回應:更新版本Trust Wallet 在X上發布信息:我們發現 Trust Wallet 瀏覽器擴展程序 2.68 版本存在安全漏洞。 使用 2.68 版本的用戶應禁用該擴展程序併升級至 2.69 版本。

注意:僅限移動設備用戶及其他所有瀏覽器擴展程序版本均不受影響。 我們理解您對此問題的擔憂,我們的團隊正在積極解決此問題。 我們將盡快與您分享最新進展。

尚未更新至 2.69 版本的用戶,請勿在更新前打開瀏覽器擴展程序。 這有助於確保您的錢包安全並防止出現其他問題。

請盡快按照以下步驟操作:步驟 1:請勿在桌面設備上打開 Trust Wallet 瀏覽器擴展程序,以確保錢包安全並防止出現其他問題。 步驟 2:複製以下內容,打開 Chrome 瀏覽器的擴展程序面板。

2.CZ:全額賠償ZachXBT在 Trust Wallet 官方X賬號下詢問賠償事宜:目前有很多受害者通過私信聯系我,表達了他們的擔憂,所以請問貴公司是否會為Trust Wallet瀏覽器擴展程序用戶提供任何賠償?

Trust Wallet 對此回應:我們的客戶支持團隊已與受影響的用戶聯繫,告知後續步驟。 請您私信中告知相關人員,請他們通過以下方式聯繫我們的支持團隊……

幾個小時後,Binance 創始人CZ表示:截至目前,trust Wallet 黑客事件總計造成約 700 萬美元的損失。 Trust Wallet 將全額承擔相關損失,用戶資金是安全的。 團隊仍在持續調查黑客如何成功提交並發布新瀏覽器擴展程序版本。

(註:Trust Wallet 由 Viktor Radchenko 於 2017 年 11 月推出,幣安於 2018 年 7 月 31 日宣布收購,使其成為幣安官方去中心化錢包,納入幣安生態體系。)

3.用戶反應:難再信任

• 說實話,這點損失在加密貨幣領域根本微不足道。 做得好,你們迅速處理並更新了信息。

• 這個問題已經持續好幾個小時了。

• 誰來賠償我被偷的24萬美元?! 我正在辦聖誕派對,結果當著所有客人的面把電視砸了。 我老婆很生氣,孩子們也哭了,她現在正帶他們去酒店。 該死的! @TrustWallet 你毀了我的生活。

• 你必須解釋事件經過,並賠償所有受影響的用戶。 否則,你的聲譽將受到損害。

• 你們打算賠償受影響的用戶嗎? 這才是關鍵。 用戶並沒有做錯任何事,這完全是你們的責任。 如果你們不賠償,那麼$TWT或許就該歸零。

• 我想…… 再也不能「信任」了。

• 你甚至不能信任一個名叫「信任」的錢包。

• Trust Wallet聖誕節被盜了? 兄弟,連聖誕老人的小精靈都開始洗錢了。 CZ拿出「SAFU」卡,就像滅霸打了個響指變出賠償金一樣。 所以說,明年直接跟聖誕老人要個Ledger錢包吧,他可能早就有了。
  

二、被盜原因:供應鏈攻擊

慢霧發文稱:初步調查結果顯示,此次事件疑似為一起供應鏈攻擊 -- 惡意代碼或已被植入擴展程序中,導致用戶在解鎖錢包時,其助記詞會被發送至惡意站點。 據估算,用戶損失已超600萬美元,目前相關方正針對該事件展開積極調查。 請保持警惕,並及時核查你的擴展程序版本。

兩小時後,慢霧科技首席信息安全官23pds在社交媒體發文表示:經過慢霧分析,有理由相信Trust Wallet相關開發人員設備或代碼倉庫可能被攻擊者控制,請及時斷網排查相關人員設備。

三、資金流向

據PeckShield監測,trust Wallet被黑客盜取的超過600萬美元加密資產中,目前約280萬美元被盜資金仍留在黑客錢包中,分布於Bitcoin、EVM兼容鍊和Solana鍊上。 大部分被盜資金(超過400萬美元)已被轉入中心化交易所,其中約330萬美元流入ChangeNOW,約34萬美元流入Fixed Float,約44.7萬美元流入KuCoin交易所。

四、Trust Wallet 被盜事件的影響

Trust Wallet 被盜最直接的影響是用戶的資產安全受威脅,並且Trust Wallet 需要賠償用戶損失。 其次,從用戶的帖子中可以看到用戶對Trust Wallet 的信任度受到衝擊,很多人不願再選擇相信這款名為「信任」的錢包。 最後,超過400萬美元的被盜加密資產已被轉入中心化交易所,交易所如何識別這些被盜資金,並配合調查也是對各交易所的一次拷問。

五、什麼是供應鏈攻擊

供應鏈攻擊是指黑客攻擊項目所依賴的第三方組件、服務或軟件,而不是攻擊項目本身。 這些組件可能包括去中心化應用程序(DApp) 、交易所或區塊鏈系統中使用的庫、應用程序編程接口(API)或工具。

通過破壞這些外部依賴項,攻擊者可以植入惡意代碼或未經授權訪問關鍵系統。 例如,他們可能會篡改DeFi平台中廣泛使用的開源庫,從而竊取私鑰或在實施後轉移資金。

加密生態系統對開源軟件和第三方集成的依賴使其極易受到此類攻擊。 此類攻擊利用加密系統中的薄弱環節,例如被攻破的 Node 包管理器 (NPM) 或GitHub依賴項,攻擊者可以將惡意代碼注入到廣泛使用的庫中。

硬件錢包或SDK在製造或更新過程中也可能被篡改,導致私鑰洩露。 此外,攻擊者還可能入侵第三方託管機構或預言機,操縱數據源或錢包訪問權限,從而竊取資金或破壞去中心化金融(DeFi)平台上的智能合約。

六、還有哪些供應鏈攻擊的案例

1.BigONE2025年7月,慢霧警告稱,加密貨幣交易所@BigONEexchange遭遇供應鏈攻擊,損失超過2700萬美元。 其生產網絡被攻破,攻擊者修改了與賬戶和風控相關服務器的操作邏輯,從而得以提取資金。 值得注意的是,私鑰並未洩露。

2.Bitcoinlib Python2025年4月,黑客將名為「bitcoinlibdbfix」和「bitcoinlib-dev」的惡意軟件包上傳至PyPI,偽裝成合法的更新程序,以此攻擊Bitcoinlib Python庫。 這些軟件包包含惡意軟件,會將命令行工具「clw」替換為能夠竊取私鑰和錢包地址的版本。

該惡意軟件一旦安裝,就會將敏感數據發送給攻擊者,使其能夠盜取受害者的錢包。 安全研究人員利用機器學習技術檢測到了這一威脅,從而阻止了進一步的攻擊。 此次事件凸顯了開源平台中域名搶注攻擊的危險性,以及在安裝軟件包之前驗證其真實性的必要性。

3.「aiocpa」漏洞2024年11月,「aiocpa」漏洞是一種複雜的供應鏈攻擊,其攻擊目標是通過Python包索引(PyPI)上的加密貨幣開發者。 該軟件包於2024年9月以合法的Crypto Pay API客戶端的形式發布,並逐漸贏得了用戶的信任。 同年11月,0.1.13版本引入了隱藏代碼,竊取了包括API令牌和私鑰在內的敏感信息,並將其發送給了一個Telegram機器人。

惡意代碼並未存在於 GitHub 代碼庫中,繞過了常規的代碼審查,最終被機器學習工具檢測到,導致該軟件包被隔離。 此次事件凸顯了開源平台中嚴謹的依賴關係管理和高級威脅檢測的重要性。

4.@solana/web3.js2024年,惡意攻擊者入侵了@solana/web3.js包,這是一個廣泛用於與Solana區塊鏈交互的JavaScript API 。 攻擊者在1.95.6和1.95.7版本中注入了惡意代碼,目的是竊取敏感的用戶信息。

該軟件包擁有超過 3000 個依賴項目,每週下載量達 40 萬次,由於其廣泛使用,成為理想的攻擊目標。 此次事件表明,即使是備受信賴、知名度高的軟件包也可能成為攻擊媒介,對整個加密生態系統的開發者和用戶構成重大風險。

5.Curve Finance 的 DNS 劫持2023年,Curve Finance的域名註冊商遭遇DNS劫持。 攻擊者入侵了註冊商賬戶並篡改了DNS記錄,將用戶從Curve的官方網站重定向到一個惡意克隆網站。 雖然後端智能合約保持安全,但訪問了偽造前端的用戶在不知情的情況下批準了交易,導致他們的錢包資金被盜空。

此次事件凸顯了 DeFi 的一個重大漏洞:雖然區塊鏈基礎設施是安全的,但對 DNS 等中心化網絡服務的依賴會造成容易被利用的薄弱環節。