文章总结： 币安旗下TrustWallet遭NPM供应链攻击，黑客利用泄露的GitHub密钥获取扩展商店API，发布带后门的恶意版本窃取用户助记词。事件造成约850万美元损失，币安承诺赔付。攻击者利用圣诞假期作案，白帽黑客通过DDoS攻击其服务器以阻断窃取。官方已发布修复版本，警示需重视供应链安全与密钥管理。 综合评分： 81 文章分类： 供应链安全,区块链安全,安全大事件,数据泄露,漏洞预警

【安全圈】币安旗下 Trust Wallet 遭供应链攻击，官方或将赔付 850 万美元

安全圈

2026年1月4日 19:01 江苏

关键词

黑客

早前币安旗下的非托管加密钱包应用 Trust Wallet 遭到黑客攻击，黑客利用未知方式直接替换了位于谷歌浏览器扩展程序商店的 Trust Wallet，这个版本携带后门用来窃取用户的加密钱包助记词。

截止至本文发布时目前有统计的损失金额合计达到 850 万美元，毕竟 Trust Wallet 早在 2018 年就被币安收购，所以有币安兜底至少被盗的用户可以获得全额赔付而不是自己蒙受损失。

至于最初的攻击源头竟然是 NPM 供应链攻击，发起攻击的黑客团伙则是 Shai-Hulud，这起引起整个行业的供应链攻击事件波及多家企业，当时有大量的 NPM 软件包被劫持并添加后门程序。

下面是时间线：

2025 年 11 月：多个 NPM 软件包被劫持并添加后门程序，此次攻击也影响 Trust Wallet 并导致其开发者的 GitHub 密钥泄露，黑客通过密钥可以得到扩展程序源代码以及谷歌扩展程序商店的 API 密钥。

利用 API 密钥黑客可以不经过 Trust Wallet 团队强制审核直接发布新的扩展程序，这也是后来 Trust Wallet 扩展程序被替换为恶意版本的主要原因。

2025 年 12 月：黑客开始做准备工作，注册了新域名 metrics.trustwallet.com 来托管恶意代码，相关恶意代码在携带后门的 Trust Wallet 扩展程序中使用。

由于 GitHub API 泄露，黑客拿到了 Trust Wallet 早期版本的完整源代码，黑客利用源代码自己编译了新版本并添加后门，随后再利用谷歌的 CWS API 密钥直接上传后门版本。

2025 年 12 月 25 日前后：此时黑客已经提前拿到诸多钱包的助记词，但黑客没有急于行动而是等待圣诞假期，这时候 Trust Wallet 团队和用户可能警惕性都会稍微放松些。

在圣诞节当天首例钱包被盗刷事件被公开报道，0xAkinator 和 ZachXBT 发现问题并积极识别和追踪攻击者的钱包地址，同时 Trust Wallet 合作伙伴 Hashdit 和内部系统也发出多条可疑警报。

随后有白帽安全研究人员对黑客控制的域名发起 DDoS 攻击以瘫痪其服务器，这也可以导致用户安装的恶意版本无法连接服务器从而减少受害者和被盗刷的金额。

最后 Trust Wallet 回滚经过验证的干净版本并发布 v2.69 通过谷歌推送给用户，最终黑客成功盗取约 850 万美元的加密货币，不过部分地址的资金还未被清洗就被冻结。

END

阅读推荐

【安全圈】索尼 PlayStation 5 ROM 密钥泄露，BootROM 代码或使破解更容易

【安全圈】黑客以攻击法国高校开启新年，多所院校学生数据遭窃

【安全圈】超 50 个恶意脚本组成大型 Magecart 攻击网络，劫持支付结账与账户注册流程

【安全圈】17岁少年借助 ChatGPT 实施黑客攻击，725万用户信息遭泄露

安全圈

←扫码关注我们

网罗圈内热点 专注网络安全

实时资讯一手掌握！

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈 《【安全圈】币安旗下 Trust Wallet 遭供应链攻击，官方或将赔付 850 万美元》