在刚刚过去的圣诞节,加密世界并未迎来平静。币安旗下拥有2.2亿用户的Trust Wallet浏览器扩展程序遭遇精心策划的黑客攻击,导致用户损失高达700万美元。更令人担忧的是,安全公司SlowMist指出,恶意代码同时窃取了大量用户个人信息,而币安联合创始人赵长鹏(CZ)则直接暗示“极有可能是内部人员所为”。这场事故不仅暴露了个人钱包安全的脆弱性,也再次将加密资产托管的内控风险推至风口浪尖。
据区块链安全公司SlowMist创始人余弦披露,攻击者早在12月8日就开始为此次漏洞利用做准备。攻击者提交了Trust Wallet扩展程序的新版本(v2.68),其中被植入了后门代码。该代码不仅能盗取用户资产,还将用户的个人信息发送至攻击者的服务器。Trust Wallet官方已紧急建议所有桌面用户将扩展程序升级至2.89版本以规避风险。
这一事件发生在个人钱包安全威胁日益严峻的市场背景下。Chainalysis数据显示,若排除2月份Bybit被盗14亿美元的极端案例,2025年个人钱包被盗金额占全部被盗资产价值的比例高达37%。从2024年Axie Infinity联合创始人Jeff Zirlin因疑似钱包漏洞损失970万美元ETH,到此次Trust Wallet事件,针对个人钱包的精准攻击已成为加密投资者的主要威胁之一。值得注意的是,尽管本次损失金额巨大,但与历史上一些动辄数亿的交易所黑客事件相比,仍属“小巫见大巫”,这反映出攻击趋势正从大型中心化平台向更分散的个人终端转移。
对于此次事件的性质,多位行业观察者将矛头指向了潜在的“内鬼”活动。跨政府区块链顾问Anndy Lian在社交媒体上直言:“这种‘黑客攻击’不自然,内部人员的可能性很高。”赵长鹏也同意这一判断,认为“极有可能”是内部人员所为。SlowMist的余弦进一步分析指出,攻击者“非常熟悉Trust Wallet扩展的源代码”,这为其植入后门代码提供了便利。目前,链上侦探ZachXBT估计有“数百名”Trust Wallet用户受到影响。
展望未来,随着加密资产普及度提升,钱包安全,尤其是涉及大量用户数据的浏览器插件和移动应用,将成为安全攻防的核心战场。投资者应关注两个关键趋势:一是“供应链攻击”的兴起,即通过污染软件更新渠道进行攻击;二是内部风险管控将成为钱包服务商的生死线。赵长鹏承诺全额赔付用户损失,虽展现了责任担当,但无法从根本上消除安全架构的隐患。对于普通用户而言,除了及时更新软件,将大额资产存储在硬件钱包等冷存储设备中,并时刻保持对任何“异常更新”的警惕,或许是当前最有效的自保策略。这场圣诞黑客事件,无疑为整个行业再次敲响了安全警钟。
