加密货币钱包 Trust Wallet 的浏览器扩充功能 v2.68 惊传安全漏洞，导致约 700 万美元用户资金被盗。币安创办人 CZ 表示，Trust Wallet 将全额赔偿受影响用户的损失，并呼吁使用该版本的用户立即采取措施确保钱包安全。

Trust Wallet 用户在圣诞节当天遭遇了精心策划的漏洞攻击，最终损失约 700 万美元，有消息指，该漏洞攻击早在 12 月初就已开始策划。网路安全公司 SlowMist 更表示，该些恶意扩充功能也一直在汇出用户的个人讯息。

Trust Wallet 早前在 X 发帖表示，Trust Wallet 的浏览器扩充功能 2.68 版本受到安全事件的影响，影响了桌面用户，官方建议用户升级到 2.69 版本。

相关消息：Trust Wallet 浏览器扩充功能惊传漏洞，用户资金遭窃逾 600 万美元

币安联合创始人赵长鹏（CZ）在周五的 X 贴文中表示，损失的资金将会得到赔偿，「目前这次骇客攻击已造成 700 万美元损失。将予以赔偿。用户资金安全无虞」。此外，他更提到 Trust Wallet 团队仍在调查骇客是如何提交新版本。

So far, $7m affected by this hack. @TrustWallet will cover. User funds are SAFU. Appreciate your understanding for any inconveniences caused. ?

The team is still investigating how hackers were able to submit a new version. https://t.co/xdPGwwDU8b

— CZ ? BNB (@cz_binance) December 26, 2025

加密货币钱包漏洞对数位资产投资者构成了日益严重的威胁。 据 Chainalysis 的数据显示，2025 年被盗金额已超过 34 亿美元，其中光是 2 月份 Bybit 的被盗事件就造成最终约 15 亿美元的损失。 2025 年，个人钱包被盗事件激增至 158,000 起，影响了 80,000 名不同的受害者，但被盗总金额（7.13 亿美元）较 2024 年有所下降。

相关消息：Bybit 被盗 14 亿美元追踪进展：近 28% 币流「被切断」、成功冻结 3.84% 资产

Trust Wallet 漏洞引发加密货币产业观察者的担忧

区块链安全公司 SlowMist 的创始人余弦发文表示，他观察到 Trust Wallet 攻击的策划者早在 12 月 8 日就开始作准备。

Trust Wallet 浏览器扩展带后门版本是 2.68.0，修复后的是 2.69.0，对比了下，正常代码和后门代码的代码差异，如图。

后门代码增加了个 PostHog 来采集钱包用户的各种隐私信息（包括助记词），并发送到攻击者服务器 api.metrics-trustwallet[.]com 。

预估时间线：攻击者至少 12.8… https://t.co/EpvCqRli7n pic.twitter.com/FOLjD6aPar

— Cos(余弦)?‍?️ (@evilcos) December 26, 2025

余弦指出，Trust Wallet 浏览器扩充带后门版本是 2.68.0，修复后的是 2.69.0，他对比了正常程式码和后门程式码差异，「后门代码增加了一个 PostHog 来收集钱包用户的各种隐私资讯（包括助记词），并发送到攻击者伺服器 api.metrics-trustwallet[.]com 。预估时间轴：攻击者至少 12.8（即 12 月 8 日）开始做的准备，12.22 成功植入后门，12.25 圣诞节开始转移资金，于是被发现」。

一些业内人士指出，此漏洞利用可能存在内部人员活动迹象，因为攻击者能够在网站上提交新版本的 Trust Wallet 扩充功能，「这种『骇客攻击』并不自然。内部人员犯案的可能性很高。」

对于社群中有人表示：「肯定是团队内部人员（作案）。」CZ 本人亦表示存在这一可能。 SlowMist 还指出，攻击者「非常熟悉 Trust Wallet 扩展程序的源代码」，这使得骇客能够实现收集敏感用户资讯所需的后门代码。