文章总结： 本文解析TrustWallet插件2.68版本植入后门致700万美金被盗事件。恶意代码窃取用户助记词上传至攻击服务器，资金经混币流向交易所。文章追踪了洗钱路径，建议用户立即更新并转移资产，强调厂商需建立多层代码审核与运行时监控机制，防范供应链攻击风险。 综合评分： 90 文章分类： 区块链安全,漏洞分析,应急响应,威胁情报

Trust Wallet 插件钱包用户700万美金被盗事件解析

原创

BlockSec

BlockSec

2025年12月27日 12:08 浙江

“He who controls the spice controls the universe” (控制香料者,控制宇宙)

这是攻击者在恶意服务器上留下的一句话。这句出自科幻小说《沙丘》的名言,在 2025 年 12 月 26 日被赋予了新的含义——当攻击者掌握了 Trust Wallet 用户的”私钥香料”,他们就能控制这些用户的加密资产宇宙。

本文内容视频版本：

一、事件复盘：含有后门的2.68 版本更新

攻击时间线

2025 年 12 月 24 日,Trust Wallet 浏览器插件钱包发布了2.68版本，但是该版本中被植入了能窃取用户助记词的恶意代码，攻击者通过获取用户钱包助记词进而窃取了用户资金，用户被盗资金超过700万美金。

攻击手法解析

根据安全研究员 @0xakinator （X Handler）的分析,攻击者采用了高度隐蔽的代码投毒手法。

1. 恶意代码植入

在 Trust Wallet 插件钱包的JavaScript文件中,有一段伪装成正常的分析追踪功能的后门代码。这一段代码的功能是上传获得的用户钱包的助记词。

api_host: "https://api.metrics-trustwallet.com"

但是恶意代码是如何被植入到插件中，目前还没有公开信息。我们认为有几种可能。第一种是攻击了钱包代码的服务端仓库。第二种是攻击了开发者的本地电脑（或者开发服务器账号），获得了提交代码的权限，从而植入了恶意代码。

2. 数据窃取机制

当钱包解锁后，恶意代码会实时监听并将用户钱包的助记词上传到攻击者控制的服务器。这个过程完全在后台进行，用户毫无察觉。

3. 基础设施准备

用来接收用户助记词的恶意域名 metrics-trustwallet.com 在攻击前数天注册，IP 地址位于法国巴黎(138.124.70.40 – Stark Industries Solutions Ltd)。事件曝光后域名已被下线。

项目方已公开承诺将补偿所有受影响用户的损失,Trust Wallet 团队正在逐一联系受害者。

二、攻击者资金流追踪

针对本次 Trust Wallet 事件,BlockSec 利用 MetaSleuth 资金追踪平台和 Phalcon Compliance 合规监控系统,分析了攻击者的洗钱路径。

资金流向分析:攻击者的洗钱路径已被锁定

MetaSleuth 成功追踪了攻击者在 Ethereum 链上的资金流向。系统识别出 10+ 受害者地址，发现 3 个中转枢纽地址用于资金汇集，No KYC 交易所（ChangeNow）成为主要洗钱渠道，部分资金仍在中转地址中等待下一步操作。

直达在线画布👇

https://metasleuth.io/result/eth/0x3b09a3c9add7d0262e6e9724d7e823cd767a0c74?source=c723b0c4-7610-47a2-815c-bd9cf02953f4

资金流向路径还原:

1. 资金汇集阶段 – 攻击者从 10+ 受害者地址窃取资金后,首先汇集到主控地址

2. 分拆转移阶段 – 主控地址将资金分拆成多笔小额转账,发送到 3 个中转枢纽地址

3. 洗钱阶段 – 中转地址将资金分别流向:

• ChangeNow 交易所充值地址(28.7%)
• FATF 灰名单地区交易所
• 赌博平台(0.48%)
• 部分资金仍在中转地址中等待时机进一步清洗

这种典型的”分拆-聚合-分散”洗钱模式,可以混淆资金来源,增加追踪难度。Phalcon Compliance 对攻击者地址 0xf2dd8eb79625109e2dd87c4243708e1485a85655 的详细分析如下图所示👇

风险等级: 🔴 Critical(严重)

该地址被检测为攻击者，与 ChangeNow 交易所、赌博平台、涉及 FATF 灰名单司法管辖区都有交互。我们呼吁所有交易所等相关机构主动追踪受害者资金流向，及时阻断非法资金流入自身平台，上报可疑洗钱行为。

三、行业警示

这次攻击暴露了钱包安全体系的薄弱环节。作为用户资产的”守门人”,钱包服务商需要建立更严格的安全机制。

第一道防线:代码发布审核

Trust Wallet v2.68 版本带有明显恶意代码却成功发布,说明内部审核机制存在严重缺陷。钱包服务商应建立多层代码审核流程,任何代码提交都应经过内部安全审核,重点关注网络请求、数据上传等高风险代码段。每次版本发布前必须由独立安全团队进行专项审查,对比新旧版本差异,任何非预期的外部通信都应被标记为高风险。

第二道防线:运行时持续监控

恶意代码在用户环境中运行数天才被发现,说明缺乏对已发布版本的持续监控。钱包应建立沙箱环境模拟真实用户场景,持续监控运行时行为。任何非预期的网络请求、异常的数据上传都应触发告警。同时部署网络流量分析系统,对新出现的域名、IP 地址自动进行威胁情报比对。

第三道防线:异常通信预警

恶意域名 api.metrics-trustwallet.com 并非官方域名却成功接收大量用户数据,说明缺乏对非授权通信的监控。助记词、私钥等核心数据严禁以任何形式离开本地设备。

四、用户避险指南

1. 立即检查并更新

如果你使用 Trust Wallet 浏览器插件钱包,立即停止使用,访问 Chrome Web Store 官方链接确认已更新至 v2.69 或更高版本。Trust Wallet 移动端 App 不受影响。

2.转移资产到安全环境

如果你的插件钱包曾升级到 v2.68,强烈建议使用其他经过验证的钱包创建全新地址,将所有资产转移到新地址。如果你在 v2.68 中导入过助记词,该助记词已可能被泄露,相关地址的资金应立即转移,废弃旧助记词。

3.建立安全习惯

使用多级分离策略:热钱包存放日常小额资金,冷钱包存放长期大额资产。只从官方渠道下载钱包,警惕钓鱼网站,任何要求你输入助记词的网站都是钓鱼。每周检查钱包余额和交易记录,关注官方公告及时更新。

Phalcon Compliance 完整攻击者地址报告

Phalcon Compliance 提供此次攻击所有攻击者地址列表及风险评分等详细 PDF 报告👇

请添加「BlockSec 小助理」微信领取

备注 “Trust Wallet 报告” 即可。

立即体验 Phalcon Compliance👇

注册链接：https://app.blocksec.com/phalcon/v2/register

即刻开启实时地址筛查、交易监控和风险预警,守护您的资产安全。

关于BlockSec

BlockSec 是全球领先的区块链安全公司，于 2021 年由多位业内知名专家联合创立。BlockSec 致力于提升 Web3 世界的安全性和易用性，并提供一站式安全服务，包括安全审计服务、安全与合规管理平台 BlockSec Phalcon、资金追踪调查平台 MetaSleuth 等。

目前，BlockSec 已服务全球逾 500 家客户，既涵盖 Web3 知名公司 Coinbase、Cobo、Uniswap、Compound、MetaMask、Bybit、Mantle、Puffer、FBTC、Manta、Merlin、PancakeSwap 等，也包括了权威监管机构及咨询机构，如联合国、SFC、PwC、FTI Consulting 等。

官网：https://blocksec.com/

Twitter：https://twitter.com/BlockSecTeam

Phalcon: https://blocksec.com/phalcon

推荐阅读👇

BlockSec

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：BlockSec BlockSec《Trust Wallet 插件钱包用户700万美金被盗事件解析》