Trust Wallet 浏览器扩展 v2.68 发生漏洞：被盗金额8.5百万美元，影响2520个钱包及赔偿计划

来源：CryptoTale 原始标题：Trust Wallet关于浏览器扩展v2.68黑客事件的更新 原始链接：https://cryptotale.org/trust-wallet-issues-update-on-browser-extension-v2-68-hack/ Trust Wallet在一次恶意浏览器扩展程序危及用户钱包后，发布了详细的更新。此次事件涉及在2025年12月24日至12月26日期间，攻击者利用泄露的发布凭据，在Chrome Web Store上发布了未经授权的Trust Wallet浏览器扩展v2.68版本。

Trust Wallet确认的内容

据Trust Wallet称，攻击者发布了一个篡改过的浏览器扩展v2.68版本，绕过了内部审批和审查流程。攻击者利用泄露的Chrome Web Store API密钥，将扩展程序发布到外部。

该恶意扩展允许访问敏感的钱包数据，使攻击者在钱包打开后无需用户授权即可执行交易。Trust Wallet强调，此次事件仅影响在指定时间段内登录的用户。

公司高度确信此次事件与2025年11月发生的Sha1-Hulud攻击有关——这是一次行业范围内的供应链漏洞，导致多个行业的npm包被破坏。在此次事件中，Trust Wallet的开发者GitHub秘密被曝光，包括扩展源代码访问和发布凭据。攻击者利用这些访问权限，基于早期的扩展代码准备了一个修改版，引用攻击者控制的域名，旨在收集钱包数据。

影响范围

仅在2025年12月24日至12月26日期间登录的浏览器扩展v2.68用户受到影响。12月26日11:00 UTC之后登录的用户未受到影响。移动应用用户和其他版本的浏览器扩展未受到影响。

Trust Wallet确认在此次事件中，有2,520个钱包地址被清空，盗取的资产总额约为850万美元，涉及多个区块链。调查人员将这些损失与17个由攻击者控制的钱包地址关联。然而，这些攻击者地址也清空了非Trust Wallet用户的钱包，调查人员仍在追踪其他未确认的钱包。

应对措施与赔偿计划

Trust Wallet已回滚扩展程序，并发布了标记为v2.69的干净版本，同时禁用发布凭据并限制部署权限。此次应对措施包括与区块链分析合作伙伴和研究人员合作，帮助识别可疑的钱包活动并中断攻击者的基础设施。

Trust Wallet确认将自愿向受影响用户提供赔偿。公司已确认有2,520个验证过的钱包符合赔偿条件。然而，Trust Wallet收到超过5,000份索赔，验证工作存在一定难度。因此，公司强调将采用多项数据点结合人工审核的严格所有权验证，以防止欺诈。

Trust Wallet宣布将在浏览器扩展v2.70中开发一款验证工具，为受影响用户提供额外的验证手段。受影响用户被建议将资金转移到新创建的钱包中。此次更新还详细介绍了持续的安全改进措施，包括更严格的访问控制、增强的监控和凭据轮换。调查仍在进行中，相关最新信息将通过官方渠道持续更新。