BlockBeats 消息,12 月 26 日,今晨用戶基數最大的非托管加密錢包 Trust Wallet 官方發布安全警報,確認瀏覽器插件 2.68 版本存在安全漏洞,鏈上偵探 ZachXBT 披露已有數百名 Trust Wallet 用戶資金被盗,損失金額已至少達 600 萬美元。Trust Wallet 累計下載量超過 2 億次,月活用戶約 1700 萬,占據約 35% 的市場份額,此次安全事件影響廣泛。
回顧多家主流瀏覽器插件曾遭遇的安全事件如下:
- Trust Wallet 瀏覽器插件在 2022 年 11 月被發現 WebAssembly 漏洞,僅影響 2022 年 11 月 14 日至 23 日創建的新錢包地址,導致約 17 萬美元資金被盗。Trust Wallet 通過漏洞賞金計畫發現問題,修復漏洞,並全額補償受影響用戶。
- MetaMask 曾在 2022 年出現「Demonic」漏洞,影響 10.11.3 之前的舊版本,私鑰可能在瀏覽器記憶體中暴露,但無已知大規模資金損失。此後 2023 至 2025 年期間 MetaMask 官方錢包插件安全運行,但頻繁受假冒擴展程序影響,Chainalysis 報告顯示 2025 年 MetaMask 使用者異常被盗事件激增,主要原因是假冒惡意軟體和釣魚,而非插件錢包安全性本身。MetaMask 對此進行每月安全報告發布,但作為流行的以太坊插件錢包,仍成為假冒的首要目標。
- Phantom(Solana 主力錢包插件)也曾在 2022 年受「Demonic」漏洞影響,但同樣無已知大規模資金損失。2025 年初出現涉及 Phantom 錢包插件的安全爭議,某用戶損失 50 萬美元,歸因於私鑰未經 Phantom 加密儲存在記憶體中,導致黑客攻擊,並在紐約南區法院提起集體訴訟。Phantom 官方聲明強烈否認所有指控,稱訴訟「毫無根據」,強調 Phantom 是非托管錢包,資金安全責任在用戶。
- Rabby Wallet(DeFi 友好插件)在 2022 年因 Rabby Swap 漏洞導致黑客窃取約 20 萬美元加密資產,漏洞並非來自插件本身,而是內置 Swap 功能。
瀏覽器插件錢包最常見的被盗方式是伪裝應用下載。2025 年 Firefox 商店出現多次此類事件,波及 MetaMask、Phantom、Trust Wallet 等多家主流加密插件錢包。綜合來看,官方直接漏洞相對較少,建議用戶僅從官方 Chrome Web Store 下載,以確保資金安全。