Trust Wallet 钱包的“圣诞劫”：当官方更新变成黑客后门

2025年圣诞节期间，加密货币领域发生了一起令人不安的安全事件。Trust Wallet 浏览器扩展的一个官方版本，竟被植入了窃取用户资产的恶意代码，导致超过600万美元的加密资产被盗。这起事件不仅是一次简单的漏洞利用，更暴露了软件供应链的深层风险——有时，最大的威胁可能就来自你“信任”的官方渠道。

事件概况：漏洞与损失

根据官方发布的安全警报，问题出在Trust Wallet浏览器扩展的2.68版本。区块链安全机构派盾监测发现，攻击者利用这个漏洞，已经窃取了价值超过600万美元的加密资产。我的理解是，这并非普通的外部攻击，而是恶意代码被直接“打包”进了官方发布的软件更新中。

被盗资金的流向也很快被追踪。其中，约280万美元仍留在黑客的钱包地址中，涉及比特币、EVM兼容链及Solana等多种资产。而超过400万美元的资产已被迅速转移至多个中心化交易平台，例如约330万美元转入了ChangeNOW，另外数十万美元分别流向了Kucoin和FixedFloat等平台。

攻击手法：官方代码中的“后门”

安全团队慢雾通过对比存在漏洞的2.68.0版本与已修复的2.69.0版本，揭示了攻击的本质。分析发现，攻击者在官方代码里植入了一段伪装成数据采集服务的恶意代码。

这段后门代码利用了一个名为PostHog的数据分析工具，秘密采集用户的敏感信息。慢雾安全团队指出，其中甚至包括钱包的助记词。所有窃取的数据都被发送至攻击者控制的服务器。根据代码变更和链上活动，慢雾推演出了攻击的时间线：攻击者在12月8日开始准备，植入后门的版本于12月22日上线，最终在12月25日圣诞假期开始大规模盗取资金。

慢雾科技的首席信息安全官23pds分析认为，攻击者对Trust Wallet的扩展源码非常熟悉，这表明“Trust Wallet的开发人员设备或代码仓库极有可能已被渗透”。他给出的紧急建议是：用户应立即断开网络，在离线状态下导出助记词并将资产转移至一个全新的、安全的钱包，完成后再进行扩展升级。

并非孤例：供应链攻击的阴影

此次事件被一些分析称为“官方投毒”，它并非加密世界的第一起。历史上有过多起类似的高危攻击，都指向了同一个薄弱环节——软件供应链。

例如，在2023年12月，硬件钱包巨头Ledger的一个前端代码库因员工遭遇钓鱼攻击而被植入恶意代码，导致多个主流去中心化应用的前端受到污染。更早的2018年，Hola VPN的Chrome扩展也因开发者账号被黑而推送了恶意更新，专门用于窃取钱包用户的私钥。这些都属于典型的供应链攻击。

此外，代码自身的缺陷也曾引发灾难。2022年8月，Solana生态的Slope钱包某版本会通过日志系统将用户的助记词以明文形式发送出去。而Trust Wallet浏览器扩展自身，此前也曾被曝出存在密钥生成过程中的熵不足问题。

安全警示：在加密世界保持警惕

从官方渠道下载的软件本身成为作恶工具，这极大地压缩了普通用户的安全空间。当“李鬼”伪装成“李逵”，防范变得异常困难。此类事件发生后，利用用户恐慌情绪进行二次诈骗的钓鱼活动也往往激增。

历史的教训反复警示我们，在加密世界，不应盲目信任任何单一的软件或硬件终端。每一位用户都需要建立自己的安全防线，例如分散存储资产、定期审查应用授权，并对任何软件的异常更新保持警惕。截至事件报道时，Trust Wallet官方仍在持续敦促用户升级，这场“圣诞劫”的余波，远未结束。