#安全资讯 币安旗下加密货币钱包 Trust Wallet 更新安全事件：用户总损失 850 万美元将获得全额赔付，攻击源头则是 NPM 供应链攻击。早前多个 NPM 软件包遭到黑客攻击，Trust Wallet 的 GitHub 和谷歌扩展商店 API 都被泄露，黑客利用源代码自己编译后门版本并利用 API 经由谷歌推送给用户，随后开始窃取钱包助记词。查看全文：https://ourl.co/111466

早前币安旗下的非托管加密钱包应用 Trust Wallet 遭到黑客攻击，黑客利用未知方式直接替换了位于谷歌浏览器扩展程序商店的 Trust Wallet，这个版本携带后门用来窃取用户的加密钱包助记词。

截止至本文发布时目前有统计的损失金额合计达到 850 万美元，毕竟 Trust Wallet 早在 2018 年就被币安收购，所以有币安兜底至少被盗的用户可以获得全额赔付而不是自己蒙受损失。

至于最初的攻击源头竟然是 NPM 供应链攻击，发起攻击的黑客团伙则是 Shai-Hulud，这起引起整个行业的供应链攻击事件波及多家企业，当时有大量的 NPM 软件包被劫持并添加后门程序。

下面是时间线：

2025 年 11 月：多个 NPM 软件包被劫持并添加后门程序，此次攻击也影响 Trust Wallet 并导致其开发者的 GitHub 密钥泄露，黑客通过密钥可以得到扩展程序源代码以及谷歌扩展程序商店的 API 密钥。

利用 API 密钥黑客可以不经过 Trust Wallet 团队强制审核直接发布新的扩展程序，这也是后来 Trust Wallet 扩展程序被替换为恶意版本的主要原因。

2025 年 12 月：黑客开始做准备工作，注册了新域名 metrics.trustwallet.com 来托管恶意代码，相关恶意代码在携带后门的 Trust Wallet 扩展程序中使用。

由于 GitHub API 泄露，黑客拿到了 Trust Wallet 早期版本的完整源代码，黑客利用源代码自己编译了新版本并添加后门，随后再利用谷歌的 CWS API 密钥直接上传后门版本。

2025 年 12 月 25 日前后：此时黑客已经提前拿到诸多钱包的助记词，但黑客没有急于行动而是等待圣诞假期，这时候 Trust Wallet 团队和用户可能警惕性都会稍微放松些。

在圣诞节当天首例钱包被盗刷事件被公开报道，0xAkinator 和 ZachXBT 发现问题并积极识别和追踪攻击者的钱包地址，同时 Trust Wallet 合作伙伴 Hashdit 和内部系统也发出多条可疑警报。

随后有白帽安全研究人员对黑客控制的域名发起 DDoS 攻击以瘫痪其服务器，这也可以导致用户安装的恶意版本无法连接服务器从而减少受害者和被盗刷的金额。

最后 Trust Wallet 回滚经过验证的干净版本并发布 v2.69 通过谷歌推送给用户，最终黑客成功盗取约 850 万美元的加密货币，不过部分地址的资金还未被清洗就被冻结。