#钱包安全漏洞 最近Trust Wallet被爆600万美元大盗窃事件，我仔细看了下慢雾的分析——问题出在2.68版本的浏览器插件植入了PostHog JS采集用户信息，更扎心的是修复版本竟然没有彻底移除这个东西。

这让我想起来前两年的"Demonic"漏洞事件，那时候就有人栽过跟头。现在问题越来越隐蔽了：不是简单的代码漏洞，而是在你毫不知情的情况下后台采集钱包数据。

我最近总结出来的防线是这样的——如果你用的钱包出了问题，千万别在线操作，断网状态下导出助记词再转移资产，否则黑客可能在你打开钱包的那一刻就把东西偷走了。而且助记词一旦备份好，要先把资产转出去再升级，顺序反了风险很大。

还有个容易被忽视的点：大部分被盗案例其实不是插件本身的漏洞，而是用户下载了假冒版本或者遭遇钓鱼。MetaMask、Phantom这些头部钱包都中过招，Firefox商店一度沦陷。所以规则很简单——只从官方Chrome Web Store下载，其他渠道全部杜绝。

链上活得久就是要比别人多想一步，特别是在资产安全这块没有试错的机会。