Trust Wallet表示,在圣诞节前攻破其浏览器扩展的攻击者已从近3000个加密货币钱包地址中挪用了约700万美元。
这款加密货币钱包(根据其官方网站,用户超过2亿人)允许用户通过浏览器扩展和免费的iOS和Android移动应用存储、发送、接收和管理比特币、以太坊、索拉纳以及数千种其他加密货币和数字代币。
Trust Wallet于2017年推出,次年被全球最大的加密货币交易所之一币安收购。尽管如此,它仍然作为一个独立的去中心化钱包应用运行。
12月24日事件导致约700万美元从被攻破的钱包中被盗,原因是其Chrome扩展2.68.0版本被攻破,攻击者添加了一个恶意JavaScript文件,窃取了敏感钱包数据。
Trust Wallet建议用户立即更新至2.69版本以阻止进一步的加密盗窃尝试后,确认了此次黑客攻击。
“恶意扩展v2.68并非通过我们内部手动流程发布。我们目前的发现表明,该文件很可能通过 Chrome Web Store API 密钥对外部发布,绕过了我们的标准发布检查,“首席执行官 Eowyn Chen 解释道。
“一个工作假设(仍在调查中):黑客利用泄露的Chrome网络商店API密钥提交了恶意扩展v2.68。该产品成功通过了Chrome网店的审核,并于2025年12月24日12:32 UTC发布。”
针对此事件,Trust Wallet 终止了所有发布 API,阻止未来两周内任何新版本发布的尝试。它还确保黑客无法通过向注册商NiceNIC报告恶意外泄域名,从而窃取更多钱包数据,后者立即将其暂停。
然而,攻击者加倍加紧行动,利用随之而来的恐慌发起钓鱼活动,利用一个Trust Wallet品牌网站,要求用户提供钱包恢复助记词,以获得“重要定期更新及安全改进”。
数千个加密钱包被掏空
此后,Trust Wallet披露攻击者窃取了近3000个钱包的加密货币,并表示计划赔偿所有受影响用户。
“到目前为止,我们已识别出2596个受影响的钱包地址。陈先生周一补充道,我们从该群体收到了约5000件申诉,表明有大量虚假或重复的提交试图获取受害者赔偿。
“因此,准确核实钱包所有权至关重要,以确保资金归还给正确的人。我们的团队正在努力核实这些说法;结合多个数据点,区分合法受害者与恶意行为者。”
与调查同步,Trust Wallet也开始向受影响用户报销,要求他们提交联系方式、被攻破的钱包地址、黑客地址以及导致钱包流量的交易哈希值,并警告他们不要分享“任何私钥、助记词或密码”。
“要开始赔偿流程,受影响的用户请填写此表格:https://be-support.trustwallet.com 协助我们处理您的案件。我们的支持团队正在优先处理所有事件受害者,并已开始审核提交的申请,“声明说。
“我们道歉并承认这一情况令人沮丧且扰乱了局面。我们正昼夜不停地敲定赔偿流程细节,每个案件都需要仔细核实,以确保准确性和安全性。”
公司警告用户,威胁行为者目前冒充支持账户,通过Telegram广告进行诈骗,并推送虚假的赔偿表格。
Trust Wallet还提醒用户始终验证链接,切勿分享恢复短语,仅使用官方Trust Wallet沟通渠道。
AI API 安全 DMARC 云安全 五角大楼 人工智能 人类心理学 关税 加密货币 勒索软件 品牌冒充 国家安全 威胁情报 应用程序安全 恶意软件 数字货币 时事政治 时政 时政新闻 暗网 木马病毒 欺诈管理和网络犯罪 民族国家攻击 漏洞和威胁 特朗普政府 特朗普的 2026 财年预算 社会工程学 社会工程学、网络战 移动安全 端点安全 网络危险 网络安全 网络安全运营 网络攻击和数据泄露 网络犯罪 网络罪犯 网络钓鱼 网络间谍 网络风险 美国贸易代表办公室 联邦贸易委员会 脆弱性 远程员工 金融与银行 间谍软件