IF9.CN 消息,12 月 26 日,今晨用户基数最大的非托管加密钱包 Trust Wallet 官方发布安全警报,确认浏览器插件 2.68 版本存在安全漏洞,链上侦探 ZachXBT 披露已有数百名 Trust Wallet 用户资金被盗,损失金额已至少达 600 万美元。Trust Wallet 累计下载量超 2 亿次,月活用户约 1700 万,占据约 35% 的市场份额,此次安全事件影响广泛。回顾多家主流浏览器插件曾遭遇的安全事件如下:
Trust Wallet 浏览器插件还曾在 2022 年 11 月被发现 WebAssembly 漏洞,仅影响 2022 年 11 月 14 至 23 日期间创建的新钱包地址。导致约 17 万美元资金被盗,Trust Wallet 通过漏洞赏金程序发现问题,修复漏洞,并全额补偿受影响用户。
MetaMask 曾在 2022 年出现「Demonic」漏洞,影响 10.11.3 之前的旧版本,私钥可能在浏览器内存中暴露,但无已知大规模资金损失。此后 2023 至 2025 年期间 MetaMask 官方钱包插件安全运行,但频繁受假冒扩展程序影响,Chainalysis 报告显示 2025 年 MetaMask 用户异常被盗事件激增,主要原因是假冒恶意软件和钓鱼,而非插件钱包安全性本身。MetaMask 对此进行每月安全报告发布,但作为流行的以太坊插件钱包,仍成为假冒的首要目标。
Phantom(Solana 主力钱包插件)也曾正 2022 年受「Demonic」漏洞影响,但同样无已知大规模资金损失。2025 年初出现涉及 Phantom 钱包插件的安全争议,某用户损失 50 万美元,归因于私钥未经 Phantom 加密存储在内存中,导致黑客攻击,并在纽约南区法院提起集体诉讼。Phantom 官方声明强烈否认了所有指控,称诉讼「毫无根据」,强调 Phantom 是非托管钱包,资金安全责任在用户。
Rabby Wallet(DeFi 友好插件)2022 年因 Rabby Swap 漏洞导致黑客窃取约 20 万美元加密资产,漏洞并非来自插件本身本身而是内置 Swap 功能。
浏览器插件钱包最常见被盗方式是假冒应用下载,2025 年 Firefox 商店出现多次此类事件集中爆发,影响 MetaMask、Phantom、Trust Wallet 等多个主流加密插件钱包。反观插件的直接官方漏洞却较少,建议用户仅从官方 Chrome Web Store 下载,确保资金安全。
