Trust Wallet扩展的严重漏洞：$6 百万加密资产陷入危险，以及为什么版本2.69变得紧急

发生了什么：
区块链研究人员和用户在本周发现了一次大规模资金损失事件，涉及一款流行的非托管钱包的浏览器扩展程序的某个版本。据分析师初步估算，损失金额在不同区块链上超过$6 百万美元，受影响的钱包数量达到数百个。公司迅速做出反应，删除了有问题的版本并发布了关键修复。

Trust Wallet扩展：安全性为何变得脆弱

公司正式宣布发现了一个影响仅限于Browser Extension版本2.68的严重安全漏洞。该问题迫使公司紧急禁用扩展，并推出版本2.69的更新，该版本可通过官方Chrome Web Store获取。

值得注意的是，该漏洞未影响：

• 移动端钱包用户
• 其他版本扩展的桌面用户
• 平台的核心基础设施

公司已指示用户立即停止使用2.68版本，并在安装修复补丁前避免打开扩展。

小偷在授权后立即窃取资金

第一个关于问题的信号来自独立研究人员，他们注意到在Chrome扩展中与钱包交互的用户资产出现异常转移。受害者报告称，他们的资金在授权操作后立即被转出。

盗窃事件涉及多个区块链：

• 以太坊及EVM兼容链
• Solana
• 比特币

2.68版本发布与盗窃行为的发生时间接近，显示出直接的因果关系。虽然Trust Wallet未公布具体金额，但研究人员发现约有100个账户出现异常支出。

怀疑供应链被攻破

安全专家推测，可能在开发或传播2.68版本的过程中被植入了恶意代码。如果攻击者成功影响了扩展的收集或传播环节，他们可能获得了拦截钱包关键操作的权限——如签署交易或确认会话。

这一假设与用户观察到的向未知地址的匿名转账相符，且没有其他明显异常。Trust Wallet已宣布开始调查，并承诺稍后公布更详细的结论。

用户应采取的行动

钱包建议采取紧急措施：

• 禁用Chrome中的Trust Wallet扩展
• 启用开发者模式
• 强制升级到2.69版本
• 在继续使用前确认版本号

公司强调，务必通过官方Chrome商店下载更新，而非其他渠道。

加密钱包世界的系统性漏洞

此事件揭示了更深层次的问题：即使是自托管钱包，如果其传播渠道被攻破，也可能成为攻击目标。浏览器扩展具有特殊风险：

• 直接访问私钥和确认请求
• 在钓鱼和恶意脚本环境中运行
• 需要频繁更新，增加攻击面

与智能合约漏洞不同，钱包被攻破不涉及链上机制，损失无法逆转。考虑到Trust Wallet拥有超过2.2亿用户，即使问题仅限于某一版本，也会带来长远的声誉影响。