RG 资讯 | Trust Wallet 源代码遭攻击，超过600万美元的加密资产被盗

Trust Wallet是由币安支持的加密货币非托管钱包应用，拥有超过2亿次累计下载量和约1700万月活用户，占据加密钱包市场约35%的份额。

该应用提供多链支持，允许用户安全存储和管理各种加密资产，并支持浏览器扩展、移动应用等多个版本。

12月24至25日期间，Trust Wallet遭遇一起严重的安全事件，造成了加密社区的广泛震动。据链上侦探ZachXBT监测，该事件导致超过600万美元的加密资产被盗，涉及数百名用户。

派盾在事件调查中确认了这一金额，并披露其中约280万美元的被盗资金仍留在黑客的钱包中，而超过400万美元的加密资产已被转入中心化交易平台，包括约330万美元转至ChangeNOW、约34万美元转至FixedFloat、约44.7万美元转至Kucoin。

Trust Wallet官方在12月26日晨间发布安全警报，确认浏览器扩展2.68版本存在安全漏洞。随后的代码审计工作揭示了这次攻击的真实面目。

安全分析团队慢雾通过对比2.68.0版本与修复后的2.69.0版本的源码，发现黑客在官方代码中植入了伪装性极强的恶意代码。

攻击者通过增加一个PostHog数据采集工具，来截获钱包用户的各种隐私信息，包括至关重要的助记词，并将这些敏感数据发送到攻击者控制的服务器api.metrics-trustwallet.com。

这种手法使得恶意代码看起来像是正常的数据收集组件，具有极强的隐蔽性。

基于代码变动与链上活动分析，安全人员重构了此次攻击的时间线。攻击者从12月8日开始进行准备工作，12月22日成功将植入后门的2.68版本上线，利用圣诞假期的时机，在12月25日开始根据窃取的助记词进行大规模资金转移，随后事件才被曝光。这充分说明攻击者经过了精心的规划和筹备。

更为令人担忧的是，安全分析表明攻击者对Trust Wallet的扩展源码非常熟悉，这暗示可能存在源头级的供应链威胁。

慢雾科技首席信息安全官23pds在社交媒体指出，Trust Wallet的相关开发人员设备或代码仓库可能已被攻击者控制。

这意味着黑客可能在源头就已经能够影响官方代码，导致有毒版本被直接发布。值得注意的是，修复后的2.69版本虽然切断了恶意传输渠道，但并未完全移除PostHog JavaScript库，这仍然留下了一定的安全隐忧。

针对受影响用户，慢雾给出了重要的安全建议。使用受影响版本的用户必须先断网，再导出助记词转移资产，否则在线打开钱包就会遭到资金盗取。有助记词备份的用户应该优先转移资产，然后再升级钱包版本。

官方已建议用户立即禁用2.68版本，并通过官方Chrome Web Store链接升级至安全的2.69版本。

这次事件并非孤立现象，而是加密生态中反复出现的供应链攻击模式的又一例。类似的教科书案例包括2023年12月的Ledger Connect Kit投毒事件，黑客通过钓鱼获取前端代码库权限，导致包括SushiSwap在内的多个应用被污染。

Trust Wallet本身也有过安全事件的历史。2023年披露的CVE-2023-31290漏洞存在于Trust Wallet浏览器扩展中，允许攻击者利用仅32位种子带来的可枚举性，识别并推导受影响的钱包地址，进而盗取资金。

2022年11月，Trust Wallet还曾因WebAssembly漏洞导致约17万美元资金被盗，官方通过漏洞悬赏计划发现问题并全额补偿了受影响用户。