文章总结： TrustWallet浏览器扩展2.68版本遭黑客植入恶意代码，导致超677万美元加密资产被盗。攻击者在脚本中植入代码窃取用户助记词并发送至恶意服务器。官方承诺赔偿并建议用户立即升级至2.69版本，同时公布了部分被盗地址。 综合评分： 85 文章分类： 漏洞预警,威胁情报,安全大事件,恶意软件,安全意识

黑色圣诞节：Trust Wallet 浏览器插件遭攻击，黑客窃取超 677 万美元加密资产

原创

刁晨阳

KeepHack1ng

2025年12月26日 16:06 北京

Trust Wallet 是币安在 2018 年收购的一款自托管多链钱包，既有手机端 App，也有浏览器扩展，很多人用它来连接 Web3 的各种 dApp。它的 Chrome 扩展在商店里显示已有超过 100 万用户在使用。

就在昨天圣诞节当天，Trust Wallet 的 Chrome 扩展 2.68 版本被黑客植入了恶意代码，目前已造成超过 677 万美元的加密资产被盗。

目前 Trust Wallet 官方已表示将对此事负责，并称会对被盗资金进行赔偿；同时也建议所有用户尽快升级到最新的 2.69 版本。

恶意代码被藏在 2.68 版本的 4482.js 文件里：当用户在插件中导入助记词时，助记词会被悄悄发送到攻击者控制的服务器 metrics-trustwallet[.]com。一旦攻击者拿到助记词，就能迅速接管对应钱包，并在很短时间内把资产转走。

被黑客攻击的原因目前还不明确，虽然官方积极承担后果，但是还是让很多用户失去了信任：

这里汇总一下目前已确认的被盗地址：

EVM0x3b09A3c9aDD7D0262e6E9724D7e823Cd767a0c740x463452C356322D463B84891eBDa33DAED274cB400xa42297ff42a3b65091967945131cd1db962afae40xe072358070506a4DDA5521B19260011A490a5aaA0xe072358070506a4DDA5521B19260011A490a5aaA0xc22b8126ca21616424a22bf012fd1b7cf48f02b10x463452c356322d463b84891ebda33daed274cb400x109252d00b2fa8c79a74caa96d9194eef6c995810x30cfa51ffb82727515708ce7dd8c69d1216484450x4735fbecf1db342282ad5baef585ee301b1bce250xf2dd8eb79625109e2dd87c4243708e1485a85655
Bitcoinbc1qjj7mj50s2e38m4nn7pt2j0ffddxmuxh2g8tyd8bc1ql9r9a4uxmsdwkenjwx7t5clslsf62gxt8ru7e8bc1q4g8u7kctk6f2x3f6nh43x76qm4fd0xyv3jugdybc1qw7s35umfzgcc7nmjdj9wsyuy9z3g6kqjr0vc7wbc1qgccgl9d0wzxxnvklj4j55wqeqczgkn6qfcgjdgbc1q3ykewj0xu0wrwxd2dy4g47yp75gxxm565kaw6m
SolanaHoQ6z1wW3LUnEGHnseC3ND3PoC6i6RghMCphHhK42FEH

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：KeepHack1ng 刁晨阳《黑色圣诞节：Trust Wallet 浏览器插件遭攻击，黑客窃取超 677 万美元加密资产》