Trust Wallet 浏览器扩展如何耗尽资产——逐步解析

安全事件的全过程：从安装到盗窃

2024年12月标志着浏览器钱包安全的转折点。 一次看似正常的Trust Wallet浏览器扩展更新中隐藏了逻辑，系统性地抽干了用户账户——数百万美元在几分钟内被盗。

---

第一阶段：可疑的更新

12月24日，扩展发布了一个新版本。表面上看毫无异常：

• 发布说明中没有安全警告
• 采用标准的更新流程
• 用户照常安装

这次欺骗非常成功。没有人立即察觉这不是普通的维护更新。

---

第二阶段：JavaScript文件中的隐藏代码变更

分析扩展文件的安全研究人员发现，4482.js中出现了新逻辑。这是第一个警示信号。在钱包扩展中，任何新的外发通信都应受到严格审查——但这里被突破了防线。

---

第三阶段：伪装成合法的分析代码

恶意逻辑巧妙伪装：

• 看起来像标准的遥测代码
• 不会持续激活
• 仅在特定条件下运行

这种设计大大增加了发现的难度。简单的测试可能无法检测出可疑代码。

---

第四阶段：关键触发点——种子短语导入

逆向工程分析表明，逻辑在用户导入种子短语时触发。这是攻击者的完美时机——因为：

• 种子短语赋予完全的钱包控制权
• 这通常是一次性操作
• 犯罪分子只需一次行动

仅使用现有钱包的用户可能绕过了这个触发器。

---

第五阶段：数据外泄到伪造域名

当条件满足时，代码声称将钱包数据发送到一个外部服务器：

metrics-trustwallet[.]com

欺骗非常完美：

• 域名类似于真实的Trust Wallet子域
• 数天前刚注册
• 未在任何公开资料中披露
• 不久后下线

---

第六阶段：自动化资金转移

用户导入种子短语后不久，数千个钱包被清空：

• 交易在几分钟内完成
• 多种资产同时被转移
• 无需人工干预

链上数据显示出自动化的模式——攻击者拥有足够的控制权，能自行签署交易。

---

第七阶段：通过多个钱包进行资金集中

被盗资金通过多个攻击者账户流转。这不是巧合：

• 多个目标地址降低追踪风险
• 自动化脚本明显
• 行为符合专业的漏洞利用

根据追踪的交易，整体估计数百万美元。

---

第八阶段：快速抹除痕迹

社区发出警报后：

• 可疑域名被关闭
• 未立即发布公开声明
• 截图和缓存证据变得关键

这是典型的攻击者行为：一旦基础设施被攻破，就会立即摧毁。

---

第九阶段：官方迟到的确认

Trust Wallet最终确认：

• 一次安全事件影响了特定版本的扩展
• 移动端用户未受影响
• 建议立即更新或停用

但仍有疑问：

• 为什么会有这个域名？
• 秘钥短语是否被泄露？
• 内部或外部人员是否参与？

这些疑问激起了各种猜测。

---

我们已知的事实

✓ 一次浏览器扩展更新引入了可疑的外发连接 ✓ 用户在导入种子短语后立即丢失资金 ✓ 事件仅限于特定版本 ✓ Trust Wallet确认了安全漏洞

---

强烈的线索指向

→ 供应链中的恶意代码注入 → 种子短语或签名能力被攻破 → 分析代码被用作武器

---

尚未揭示的问题

? 代码是否被故意植入或在上游被攻破 ? 受影响用户的确切数量 ? 攻击者的身份 ? 是否还有其他敏感数据被外泄

---

为何此事件影响整个行业

此事件不是普通的钓鱼攻击。它显示了：

浏览器扩展的脆弱性——它们可以访问私钥和种子短语。一个小的代码错误或漏洞都可能造成灾难。

盲目信任更新的风险——用户自动安装更新，未检查代码。更新成为完美的攻击载体。

分析代码如何被滥用——遥测功能看似合法，却可能窃取敏感数据。

最关键的时刻：种子短语管理——导入种子短语是钱包使用中最危险的环节。

一个短暂的漏洞或故意布置的弱点就能在几分钟内盗走数百万。

教训： 在加密安全中，没有小事。每次更新都应谨慎对待，而非盲目信任。