事件概览

近期，去中心化钱包工具 Trust Wallet 被曝其浏览器扩展遭遇源码层面的植入攻击，事件性质被多家安全团队界定为针对扩展端的精确投毒，而非单纯的钓鱼链接或伪造插件安装。根据慢雾和派盾发布的监测数据，攻击者在官方扩展代码中嵌入恶意 PostHog JS，用于持续采集用户操作与敏感信息，进而发起资产盗取行为。初步统计显示，受影响用户损失规模已达约 600 万美元，其中部分资产在短时间内被多次转移。与安全事件同步，比特币价格维持在约 88,000–89,000 美元高位区间震荡，24 小时录得约 0.8%–1.7% 的小幅上涨，现货与衍生品市场整体并未出现恐慌性抛压，更多体现为高位换手和情绪微幅扰动的格局。

攻击细节

从当前公开信息看，本次事件的关键在于攻击者成功在 Trust Wallet 浏览器扩展的源码层注入了 PostHog 相关脚本，通过前端埋点的方式收集用户在插件内的交互行为以及潜在的敏感数据，再结合链上监控完成定向盗取。这类脚本本身常被用于分析产品使用情况，因此在代码仓库中不易第一时间引起警觉。更具风险的是，据安全团队披露，Trust Wallet 推出的修复版本在早期阶段并未完全移除相关恶意脚本，导致部分用户即便更新扩展，仍然处于被监控和被盗的暴露状态，使损失在数日内继续扩大。慢雾创始人余烬公开表示，攻击者“非常熟悉 Trust Wallet 扩展源码”，慢雾 CISO 也强调应尽快排查开发者终端环境以及代码仓库的完整性，凸显这并非简单配置疏忽，而更接近对开发与发布链路的有针对性渗透。

供应链风险

从供应链攻击视角审视此次事件，业界普遍关注的是开发者设备或核心代码仓库可能在早期即被攻陷的场景：一旦攻击者取得开发环境权限，便有机会在源码、依赖库或构建脚本中插入看似“正常”的分析代码，等待后续编译、打包与上架流程自动完成传播。对浏览器扩展而言，其分发高度依赖官方应用商店以及 CI/CD 自动构建链路，一旦构建产物在源头被篡改，攻击面会沿着版本更新迅速扩散至存量用户。当前信息显示，Trust Wallet 需进一步梳理构建、签名到发布各环节的安全机制缺口，这一事件也对整个钱包类插件的安全模型形成了直接冲击：传统聚焦私钥存储和链上交互的审计方法，显然难以覆盖供应链层面的埋点脚本和遥测组件，迫使团队在依赖管理、构建可重复性和第三方代码审计上提高优先级。

资金损失流向

据派盾统计，本次攻击涉及的被盗资产规模约为 600 万美元，涵盖多条公链上的代币和稳定币资产，虽然具体币种构成尚未完全披露，但可以确认的是，这些资金在短期内通过多跳转账被快速打散并跨链迁移，以增加追踪难度。链上分析进一步显示，其中约 400 万美元相关资产已经流入多家中心化交易所，攻击者疑似试图借助 CEX 深度完成套现或进一步分散。理论上，交易所可以依据安全团队提供的可疑地址进行冻结与协查，但在资产被多次拆分与混合的前提下，实际追回比例仍存不确定性。对直接受损用户而言，短期面临的是资金难以追回、索赔路径模糊以及使用信任受损三重压力；而对 Trust Wallet 品牌来说，此次事件不仅打击其“安全钱包”定位，也会在相当一段时间内影响新用户转化与老用户留存，迫使项目方在沟通透明度、补偿方案和后续安全改造上给出更具说服力的响应。

比特币价格联动

在 Trust Wallet 安全事件暴露的同一时间段，比特币价格在约 88,000–89,000 美元区间反复震荡，24 小时涨幅维持在约 0.8%–1.7% 的温和上行区间，显示资金并未因单一钱包安全事故而出现显著撤离。从成交结构看，现货与期货市场的波动更接近“高位整理”而非避险式回落，说明主流资金将此次攻击视为个体项目层面风险，而非系统性安全危机。历史经验中，多起钱包或交易平台安全事故在短期内确实会引发 BTC 的情绪化抛压，但往往集中在黑天鹅体量巨大或伴随合规监管冲击的场景；在其他中等规模事件中，BTC 价格更多表现为短暂回调后迅速回归原有趋势。本次事件下，比特币维持窄幅震荡，验证了这一模式：市场将个例安全风险与宏观行情逻辑进行区隔，更关注经济数据、流动性环境与机构入场节奏，而非单点攻击对整体估值逻辑的撼动。

链上与宏观共振

除了 Trust Wallet 事件外，链上与宏观层面的多重信号也在同一时期交织放大市场结构变化。巨鲸地址「pension-usdt.eth」选择在高位平仓 3 万枚 ETH，按当时市价约合 8,750 万美元，这一动作被视为典型的风险偏好边际回落信号，表明部分中长期资金在当前估值水平下倾向落袋为安，而非继续大幅加仓。与此同时，Uniswap 社区通过了涉及费用开关的治理提案，获得约 1.25 亿枚 UNI 的赞成票支持，意味着主流 DeFi 协议正在向更“现金流化”的模型过渡，这对流动性提供者行为与整体 DeFi 收益率曲线都将产生持续影响。将这些因素与 BTC 高位震荡放在一起观察，可以看到资金在蓝筹资产、DeFi 协议和长尾资产之间呈现出更明显的结构性分化：一方面，头部资产维持相对稳健的筹码博弈；另一方面，高风险板块在治理、费用与安全事件的多重扰动下，面临更频繁的仓位再平衡与估值重定价。

风险与展望

此次 Trust Wallet 浏览器扩展被攻事件，集中暴露了钱包类产品在供应链安全上的系统性短板：开发环境、依赖库与构建流程一旦缺乏持续监控和独立审计，即便前端界面与链上交互逻辑看似正常，用户仍可能在不知情的情况下处于被监控与被盗的高危边缘。这对普通用户的启示在于，减少在浏览器扩展中长时间持有大额资产、定期更换助记词与私钥使用环境，并提高对版本异常更新和权限请求的敏感度。就市场层面而言，比特币目前仍在 88,000–89,000 美元区间高位震荡，从 24 小时约 0.8%–1.7% 的涨幅看，风险收益比已明显不同于早期上行阶段，高杠杆追涨面临更大的短期波动与回撤压力。在部分关键信息尚待验证的背景下，无论是对 BTC 仓位管理，还是对各类钱包和 DeFi 工具的使用，都更需要控制整体杠杆水平、分散托管风险，并优先采用硬件钱包与多重签名等更稳健的自托管实践，以在可能出现的突发行情与安全事件中保留足够的回旋空间。

加入我们的社区，一起来讨论，一起变得更强吧！
官方电报（Telegram）社群：https://t.me/aicoincn
AiCoin中文推特：https://x.com/AiCoinzh

OKX 福利群：https://aicoin.com/link/chat?cid=l61eM4owQ
币安福利群：https://aicoin.com/link/chat?cid=ynr7d1P6Z

免责声明：本文章仅代表作者个人观点，不代表本平台的立场和观点。本文章仅供信息分享，不构成对任何人的任何投资建议。用户与作者之间的任何争议，与本平台无关。如网页中刊载的文章或图片涉及侵权，请提供相关的权利证明和身份证明发送邮件到support@aicoin.com，本平台相关工作人员将会进行核查。