事件概述
2025年12月24日至26日,Trust Wallet浏览器扩展(v2.68版本)因API密钥泄露,被上传恶意代码。事件共影响2520个在此期间登录的钱包地址,造成约850万美元资产被盗。
攻击溯源
调查显示,此次攻击与2025年11月的行业性供应链攻击“Sha1-Hulud”有关。攻击者通过泄露的GitHub凭证,获取了Chrome Web Store的API访问权限。
官方应对与赔偿
- 用户赔偿:Trust Wallet决定自愿赔偿所有受影响用户,目前正在敲定赔偿流程与所有权验证机制,并已开始与主动联系的受害者对接。
- 用户行动建议:受影响用户应立即将资金转移至新创建的安全钱包,并通过官方表单提交索赔申请。目前团队已收到超5000份申请,正在逐一审核。
- 安全修复:官方已发布修复后的v2.69版本,并禁用了相关的发布权限与泄露凭证,以杜绝类似风险。
