社区
融资信息
专题
链上生态
词条
播客
活动
插件钱包安全事件一览:饱受假冒软件和钓鱼攻击困扰,直接官方漏洞较少
BlockBeats 消息,12 月 26 日,今晨用户基数最大的非托管加密钱包 Trust Wallet 官方发布安全警报,确认浏览器插件 2.68 版本存在安全漏洞,链上侦探 ZachXBT 披露已有数百名 Trust Wallet 用户资金被盗,损失金额已至少达 600 万美元。Trust Wallet 累计下载量超 2 亿次,月活用户约 1700 万,占据约 35% 的市场份额,此次安全事件影响广泛。回顾多家主流浏览器插件曾遭遇的安全事件如下:
Trust Wallet 浏览器插件还曾在 2022 年 11 月被发现 WebAssembly 漏洞,仅影响 2022 年 11 月 14 至 23 日期间创建的新钱包地址。导致约 17 万美元资金被盗,Trust Wallet 通过漏洞赏金程序发现问题,修复漏洞,并全额补偿受影响用户。
MetaMask 曾在 2022 年出现「Demonic」漏洞,影响 10.11.3 之前的旧版本,私钥可能在浏览器内存中暴露,但无已知大规模资金损失。此后 2023 至 2025 年期间 MetaMask 官方钱包插件安全运行,但频繁受假冒扩展程序影响,Chainalysis 报告显示 2025 年 MetaMask 用户异常被盗事件激增,主要原因是假冒恶意软件和钓鱼,而非插件钱包安全性本身。MetaMask 对此进行每月安全报告发布,但作为流行的以太坊插件钱包,仍成为假冒的首要目标。
Phantom(Solana 主力钱包插件)也曾正 2022 年受「Demonic」漏洞影响,但同样无已知大规模资金损失。2025 年初出现涉及 Phantom 钱包插件的安全争议,某用户损失 50 万美元,归因于私钥未经 Phantom 加密存储在内存中,导致黑客攻击,并在纽约南区法院提起集体诉讼。Phantom 官方声明强烈否认了所有指控,称诉讼「毫无根据」,强调 Phantom 是非托管钱包,资金安全责任在用户。
Rabby Wallet(DeFi 友好插件)2022 年因 Rabby Swap 漏洞导致黑客窃取约 20 万美元加密资产,漏洞并非来自插件本身本身而是内置 Swap 功能。
浏览器插件钱包最常见被盗方式是假冒应用下载,2025 年 Firefox 商店出现多次此类事件集中爆发,影响 MetaMask、Phantom、Trust Wallet 等多个主流加密插件钱包。反观插件的直接官方漏洞却较少,建议用户仅从官方 Chrome Web Store 下载,确保资金安全。
早期,我们更关注钱包核心代码的漏洞,比如内存中未加密的私钥残留,或是WebAssembly模块的逻辑缺陷。这类漏洞危害巨大但相对罕见,且负责任的团队能通过赏金计划快速响应、修复并补偿用户,如Trust Wallet的处理方式就树立了很好的行业标杆。
然而,现在的威胁景观已经完全不同。攻击者极少去费力挖掘复杂的零日漏洞,而是选择了一条阻力最小的路径:利用用户对官方分发渠道的信任,直接伪造整个应用。他们大规模地上传假冒插件到各大浏览器的官方商店,这些恶意扩展程序从图标到描述都足以以假乱真,但其核心功能是窃取用户输入的助记词和私钥。这是一种供应链攻击,它绕过了钱包本身的安全设计,直接在最脆弱的环节——用户与软件的交互点——发起攻击。
这带来了两个关键启示。第一,安全的责任被重新定义。钱包开发商的责任是确保其官方分发的代码安全,并及时修复自身漏洞。但面对海量的假冒应用,他们能做的更多是监测、下架和用户教育。最终,保护资产安全的终极责任无可推卸地落在了用户自己身上。Phantom官方在诉讼中的回应虽然强硬,但道出了非托管钱包的本质:你是自己资产的唯一负责人。
第二,行业的基础设施存在缺失。浏览器扩展商店的审核机制显然无法有效拦截这些恶意提交,这形成了一个系统性的弱点。当官方商店本身都不再绝对可信时,用户下载前的验证就变得至关重要。我们必须养成只从项目唯一官网的链接跳转至商店安装的习惯,绝不能直接在商店中搜索。
总而言之,这场安全攻防战的焦点已经转移。最大的威胁不再是你使用的钱包代码有漏洞,而是你下载的钱包根本就是个冒牌货。作为用户,我们必须提升自己的安全意识和操作习惯,因为在这个去中心化的世界里,你自己就是最后一道防线。
