事件概览

近期，Trust Wallet 浏览器扩展 2.68 版本被曝出存在安全漏洞，部分用户在使用该版本期间出现资产被盗的情况，引发社区高度关注。链上分析师 ZachXBT 根据公开转账记录和受害者反馈，初步估算本次事件造成的损失至少超过 600 万美元，涉及用户数量被描述为“数百名”，目前仍属于单一来源的公开统计。Trust Wallet 官方已确认，仅浏览器扩展 2.68 版本受到影响，移动端钱包及其他版本被明确称为安全，并已紧急发布 2.69 版本，敦促所有扩展用户立即升级，以阻断潜在攻击路径。需要注意的是，围绕本次事件的关键信息仍不完整，包括具体漏洞细节、完整受害地址与资金流向仍在整理之中，后续随着链上数据与官方调查进展，损失规模和受影响范围存在被修正或放大的可能性。

关键数据

从目前公开信息看，关于本次 Trust Wallet 扩展漏洞的量化数据主要来自少数分析者。ZachXBT 在社交媒体上披露，其基于部分已知被盗地址推算，损失金额“至少超过 600 万美元”，这一数字尚未得到项目方或第三方审计机构的正式背书，因此应被视为单一来源的初步估计。同样，“数百名用户受影响”的说法，主要依据的是受害者自曝案例与非官方统计，在样本覆盖和去重方面都存在边界，短期内难以将其当作完整的受害人清单。官方目前仅明确：事件限定在浏览器扩展 2.68 版本，不涉及移动端应用及其他版本，外界不宜将现有损失数据外推至整个 Trust Wallet 生态。由于缺乏系统化披露的被盗地址列表以及跨链分布信息，分析者难以准确划分资金究竟集中在某一条或少数公链，还是分散于多条 EVM 链，从而限制了对攻击规模、模式与风险外溢效应的进一步量化评估。

扩展风险

浏览器扩展钱包作为用户连接 DeFi、NFT 与各类 DApp 的主要入口，天然承担着高频签名与授权操作，因此暴露出区别于纯移动端钱包的独特攻击面：任何页面加载的恶意脚本、被劫持的 RPC 配置或伪造的交互请求，都可能借助扩展与网页之间的桥接关系，放大权限滥用的后果。相较之下，移动端钱包通常运行在更封闭的应用沙盒中，权限请求多受操作系统层级的隔离和审核，桌面扩展则更依赖浏览器环境与用户自身的操作习惯来维持安全边界。本次 Trust Wallet 事件集中在 2.68 这一特定版本，也折射出扩展产品在更新与版本管理上的风险：一旦某个发布环节、依赖包或配置出现问题，便可能在极短时间内被大规模分发到用户浏览器中。在当前尚未披露具体技术细节的前提下，更合理的讨论范围应停留在架构层面，例如扩展与网页、后端服务和依赖组件之间的信任链设计，而非对攻击手法做出未经证实的技术猜测。

自托管矛盾

围绕本次事件，市场情绪的一大焦点在于“中心化品牌背书”与“用户自托管责任”之间的认知落差。Trust Wallet 在 2023 年被币安收购后，长期被视为大型交易所生态中的官方自托管入口，许多用户倾向于将其理解为“更有保障”的钱包选项，并在心理上将安全责任部分投射给币安与 Trust Wallet 团队。然而，自托管钱包从架构上强调的是“私钥在用户手中，平台无法干预资产”的设计，这意味着权限误用、版本选择和安全设置等关键环节，理论上应由用户自行负责。当浏览器扩展成为连接 DeFi 协议和空投交互的默认入口时，大量用户对其安全义务的期望被显著模糊：既希望享有中心化品牌所代表的安全承诺，又期望在出现损失时获得类似交易所被盗后的补偿安排。本次漏洞直接冲击了“自己持币就一定更安全”的单线叙事，提醒市场重新审视：自托管并非无条件安全，而是一组以技术与操作纪律为前提的风险权衡。

历史对照

从行业历史来看，Trust Wallet 这次事件并非孤例。2024 年，头部浏览器扩展钱包 MetaMask 曾被曝出遭遇类似的供应链相关攻击风险，引发对扩展生态上游依赖与发布流程的集体反思。彼时，社区讨论集中在第三方依赖包被投毒、构建环境受控以及扩展发布渠道被滥用等问题，这些都是浏览器扩展类钱包在设计上普遍面临的公共弱点。将 MetaMask 个案与本次 Trust Wallet 事件并置，可以看到二者在攻击面上的相通之处：都集中在扩展这一终端形态，与 DApp 环境、浏览器和构建链路之间的信任关系高度绑定；在响应策略上，项目方也均采取了紧急发布新版本、提醒用户升级并排查异常授权等方式，以期快速阻断潜在攻击链。但需要强调的是，目前对于 Trust Wallet 事件中“疑似供应链攻击”等说法，仍然处于待验证状态，尚无公开证据足以将其定性为与 MetaMask 同类的供应链攻击案例，相关表述更应被视为风险假设而非既成事实。

责任与预期

在责任归属与补偿预期方面，市场声音已经出现分化。链上分析师 ZachXBT 公开表示，如果后续调查结果确认 Trust Wallet 对本次漏洞负有直接责任，希望项目方能够对受影响用户进行全额赔偿，这一观点在社交媒体上获得了部分受害者与旁观者的支持。与之形成对比的是，Trust Wallet 官方目前仅明确承认了 2.68 版本存在安全问题，并给出升级至 2.69 的技术应对方案，对于是否赔付、如何赔付以及赔付范围等关键问题尚未发布任何细节。作为由中心化公司运营的钱包产品，其在法律与舆论层面实际承担的责任，往往介于“技术提供方”与“金融服务机构”之间：一方面，品牌溢价和用户增长依赖于社区对其安全性的信任；另一方面，自托管设计又让其难以被简单套用传统金融机构的刚性兑付标准。本次事件对 Trust Wallet 及其背后币安生态的品牌信用无疑是一场压力测试，短期可能抑制新用户导入和扩展使用频率，中长期则取决于漏洞调查透明度、用户沟通和后续补偿机制的设计能否重建信任。

风险启示

围绕 Trust Wallet 浏览器扩展 2.68 版本的漏洞事件，市场正在重新厘清浏览器扩展类钱包的安全边界：它既是连接 DeFi 世界的关键基础设施，也是集浏览器环境、依赖供应链和用户操作风险于一体的脆弱点。对普通用户而言，当前阶段最基础且成本最低的行动包括：立即核查自己使用的扩展版本，确保已升级至官方确认安全的最新版本；定期清理不必要的 DApp 授权，避免在不明来源的网站中进行签名与授权操作；在扩展安装和更新时优先选择官方渠道，减少第三方镜像与非正规分发带来的链路风险。对于整个行业，这次事件再次指向几个迫切的改进方向：强化对扩展构建链路与依赖包的安全审计，推动浏览器扩展生态在权限隔离和签名提示上的标准化，并在信息披露上提供更及时、具体的受害地址与事件时间线，以便外部分析者进行独立核查。随着更多链上数据的整理和 Trust Wallet 官方调查的推进，当前关于损失规模、攻击方式和责任划分的判断都可能发生变化，用户和机构在调整自身风险评估和产品选择时，需要持续关注后续披露而非依赖早期片段化信息。

加入我们的社区，一起来讨论，一起变得更强吧！
官方电报（Telegram）社群：https://t.me/aicoincn
AiCoin中文推特：https://x.com/AiCoinzh

OKX 福利群：https://aicoin.com/link/chat?cid=l61eM4owQ
币安福利群：https://aicoin.com/link/chat?cid=ynr7d1P6Z

免责声明：本文章仅代表作者个人观点，不代表本平台的立场和观点。本文章仅供信息分享，不构成对任何人的任何投资建议。用户与作者之间的任何争议，与本平台无关。如网页中刊载的文章或图片涉及侵权，请提供相关的权利证明和身份证明发送邮件到support@aicoin.com，本平台相关工作人员将会进行核查。