Trust Wallet 在 Chrome 漏洞泄露助记词后开放 700 万美元赔偿

Trust Wallet 已为受其 Chrome 浏览器扩展程序安全事件影响的用户启动正式赔偿程序,此前最近更新中嵌入的恶意代码导致钱包助记词泄露,造成数百万美元的加密资产损失。

该公司在星期五表示,受影响的用户现在可以通过 Trust Wallet 门户网站上的官方支援表格提交索赔。

索赔流程要求用户提供基本识别详细信息,包括电子邮件地址和居住国家,以及受损钱包地址、疑似攻击者地址和相关交易哈希值。

Trust Wallet 表示正在优先审查所有提交的申请,并承诺赔偿每一位经过验证的事件受害者。

Trust Wallet 联系受害者,诈骗者利用漏洞后果

在 12 月 26 日发布在 X 上的声明中,Trust Wallet 承认了漏洞造成的干扰,并表示其支援团队已开始联系受影响的用户。

该公司补充说,每个案例都需要仔细验证以确保准确性和安全性,并承诺随着流程推进提供持续更新。

同时,Trust Wallet 警告用户对诈骗保持警惕,指出在 Telegram 和其他平台上流传的假冒赔偿表格、冒充支援账户和主动发送的直接讯息有所增加。

赔偿公告是在 12 月 25 日确认漏洞之后发布的,当时 Trust Wallet 披露只有其 Chrome 浏览器扩展程序的 2.68 版本受到影响。

区块链调查员 ZachXBT 在多个用户报告安装更新后不久出现未经授权的资金外流后,首先引起了对该事件的关注。

Trust Wallet 随后敦促运行受损版本的用户立即禁用它并升级到 2.69 版本。

根据 ZachXBT 的说法,受害者人数在几小时内攀升至数百人,超过 600 万美元在包括 Bitcoin、Solana 和 EVM 兼容网络在内的多个区块链上被盗取。

多名用户表示他们的钱包在几分钟内被清空,X 上一个账户声称损失超过 30 万美元,不过 ZachXBT 后来将该特定账户标记为可疑。

Chrome 扩展程序更新如何变成钱包劫案

调查人员和用户报告称,该恶意扩展程序通过 Chrome 正常更新流程安装时看起来是合法的。

然而,嵌入的代码允许攻击者提取用户的恢复短语,使其能够立即访问他们的资金。

一名用户警告说,仅仅将助记词导入扩展程序就会触发钱包即时清空。

浏览器扩展程序通常以提升的权限运行,使它们能够访问网页、存储和浏览数据,这使得它们在被滥用时成为攻击者的强大目标。

Trust Wallet 表示移动应用程序用户和运行其浏览器扩展程序其他版本的用户未受影响。根据 Web Store 列表,Chrome 扩展程序本身约有 100 万用户。

在另一篇帖子中,于 2018 年收购 Trust Wallet 的 Binance 创始人赵长鹏确认将赔偿所有经过验证的损失。赵长鹏估计受影响的总金额约为 700 万美元,并表示用户资金将获得偿还。

这一事件发生在整个加密行业与钱包相关的攻击更广泛增加的背景下。

根据 Chainalysis 的数据,从 1 月到 2025 年 12 月初,被盗金额超过 34 亿美元,其中 Bybit 在 2 月的一次攻击占了总额的近一半。

近年来个人钱包攻击持续增长,从 2022 年被盗价值的略超 7% 上升到 2025 年的超过三分之一,不包括 Bybit 攻击。

虽然中心化平台被攻击的频率较低,但与私钥泄露相关的损失也越来越大。