#安全资讯 知名加密货币钱包扩展程序 Trust Wallet 再次出现安全问题，这次是被投毒窃取用户的钱包助记词，目前用户损失金额合计超过 600 万美元。黑客如何劫持和投毒目前还不清楚，带毒版本窃取助记词后会将其发送到黑客服务器，直到 12 月 25 日圣诞节黑客开始转移资金。查看全文：https://ourl.co/111442

知名的加密钱包扩展程序 Trust Wallet 日前似乎遭到了供应链攻击，黑客通过某种方式劫持该扩展程序并添加恶意代码用来窃取用户的助记词，随后通过助记词恢复用户钱包并清空所有资产。

截止至本文发布时黑客窃取的加密货币价值超过 600 万美元，但实际受到损失的用户可能还会继续增加，建议使用该扩展程序的用户立即将自己的资产转移到受信任的钱包中以防不测。

区块链上安全公司慢雾创始人余弦在推文中给出了简要分析：

带有后门的扩展程序版本为 v2.68.0，经过开发商紧急修复的版本是 v2.69.0，对比代码可以看到后门版带了个 PostHog 用来采集用户的敏感信息 (包括钱包助记词)，随后将这些敏感信息发送到黑客控制的服务器 hxxp://api.metrics-trustwallet.com

域名信息显示该域名注册于 2025 年 12 月 8 日，也就是此时可能已经在做准备工作，到 12 月 22 日成功植入后门但这时候黑客还是按兵不动的，到 12 月 25 日圣诞节当天开始转移资金。

选择在圣诞节动手自然是因为彼时西方国家假期这时候无论 Trust Wallet 团队还是用户可能多少都有些松懈，这样黑客可以获得更多时间转移资金避免被发现后开发团队修复以及用户转移资金到受信任钱包。

至于最终的实际损失金额目前还无法统计，不过这也并非 Trust Wallet 首次出现安全问题，在 2022 年 11 月 14 日～23 日期间创建的钱包存在安全缺陷，黑客可以通过伪随机数推算出钱包私钥。

当时 Trust Wallet 的安全问题导致用户损失 17 万美元，但这个金额毕竟比较小所以 Trust Wallet 全额补偿了用户，此次损失金额超过 600 万美元，事后是否能全额补偿还需要等待后续消息。