Trust Wallet扩展程序曝供应链漏洞，用户资金遭窃超200万美元

Trust Wallet扩展程序曝可疑代码，疑致用户资金被盗

12月25日，知名区块链调查员ZachXBT指出，Trust Wallet浏览器扩展程序在12月24日的更新后出现可疑活动，疑似存在供应链漏洞，引发安全警告。

开发者分析发现，更新中引入的JavaScript文件包含伪装成分析工具的恶意代码。该代码会在用户导入助记词时激活，并将敏感钱包数据发送至一个模仿官方基础设施的外部域名。据悉，该域名为新近注册，目前已下线。

用户报告资金被盗，损失或超200万美元

多名用户反映，在将助记词导入该扩展程序后，钱包资金迅速被清空。初步估计损失可能超过200万美元，资金通过多个地址转移，模式疑似自动化攻击。

风险目前仅限于浏览器扩展

目前尚无证据表明Trust Wallet移动应用程序受影响。风险主要集中于扩展程序，其更新机制和第三方依赖带来了更高的供应链攻击风险。建议用户在获得官方说明前，避免使用该扩展程序导入助记词。

官方尚未回应，调查仍在进行

截至发稿，Trust Wallet官方未对此事发布任何回应或安全公告。安全研究人员强调，调查仍在进行中，需对扩展代码及链上活动进行全面审查。