Trust Wallet遭遇圣诞节攻击，损失700万美元

By: crypto insight|2026/03/30 00:19:58

关键要点：

Trust Wallet用户因圣诞节期间的黑客攻击损失了700万美元。
此次攻击利用了Trust Wallet浏览器扩展程序中的后门，影响了众多用户。
Binance联合创始人赵长鹏已向用户保证，损失的资金将得到赔偿。
由于攻击的性质，内部人员被怀疑参与了此次漏洞利用。
加强网络安全措施对于保护数字资产投资免受类似威胁至关重要。

WEEX Crypto News, 2025-12-26 10:17:15

令人震惊的漏洞：Trust Wallet陷入危机

在一场令人震惊的事件中，Trust Wallet用户成为了一次精心策划的漏洞攻击的受害者，导致约700万美元的损失。这一不幸事件发生在圣诞节，本应充满欢乐的日子却遭遇了背叛。作为广泛使用的加密货币钱包，Trust Wallet发现其浏览器扩展程序遭到入侵，严重影响了桌面端用户。通过深入调查，此次漏洞揭示了一系列长达数周的准备工作，并指向了始于12月初的协同攻击。

扩展程序漏洞：攻击的窗口

这场网络安全噩梦的核心在于Trust Wallet的2.68版本浏览器扩展程序，它无意中成为了未经授权入侵的渠道。该漏洞允许攻击者植入恶意代码，将扩展程序变成了获取用户敏感信息的门户。考虑到被泄露的个人和财务数据，此次黑客攻击不仅在规模上具有可比性，其大胆程度也令人深思。

网络安全社区迅速将目光投向了此次漏洞，并对潜在的内部人员参与表示担忧。据深入研究该事件的区块链安全公司SlowMist称，该漏洞的复杂性表明存在内部知情人士。攻击者不仅提取了资金，还获取了个人数据，进一步加剧了违规行为的严重性。

Binance介入：在担忧中提供保证

在这场危机中，Binance（Trust Wallet的母公司）联合创始人赵长鹏介入，以平息事态。他在公共平台上向用户保证，总计700万美元的受损资金将得到赔偿。这一承诺符合维护用户信任的努力，并在数字资产面临日益严峻的网络安全威胁时，建立了一种安全感。

赔偿承诺确实让受影响的用户感到宽慰。然而，这也揭示了加密货币交易所和钱包领域更广泛的安全问题——该行业仍然是网络犯罪分子寻找弱点进行攻击的目标。

-- 价格

内部威胁：令人不安的可能性

Trust Wallet漏洞的一个引人注目的方面是怀疑有内部人员参与。拥有敏感知识的内部人员对网络安全框架构成了严峻威胁。此次黑客攻击的性质——其时机、执行方式以及木马式的后门代码植入——与内部作案的特征令人不安地吻合。此类攻击通常以对系统漏洞的深入了解为标志，正如本案一样。

SlowMist的余弦强调了攻击者如何熟悉源代码，从而能够引入促进违规的后门。隐蔽的植入发生在12月22日，而12月25日则标志着资金开始从用户钱包中消失。这一序列凸显了所涉及的计划和精度水平。

探索网络攻击的更广泛背景

尽管Trust Wallet事件很严重，但它加入了一系列类似的攻击行列，凸显了加密货币投资者面临的波动性和风险。2024年2月，边玩边赚游戏Axie Infinity的联合创始人Jeff Zirlin因疑似钱包漏洞损失了价值970万美元的以太坊，该事件至今仍笼罩在神秘和猜测之中。

钱包受损已成为一种重大危险，通常由复杂的网络犯罪分子促成，有时甚至得到内部人员的协助。随着数字货币市场的指数级增长，盯着这些数字存储库中积累的财富并试图窃取机会的目光也越来越多。

后果与经验教训

虽然Trust Wallet用户可以从Binance赔偿损失的承诺中找到慰藉，但这一事件呼吁对网络安全策略进行更深入的反思和创新。防止此类未来事件的发生需要一种严谨的、多层次的方法来保护用户数据和资金。Trust Wallet建议升级到最新的2.89版本扩展程序，这证明了其在修补漏洞和加强防御方面的持续努力。

然而，除了即时的修复之外，还需要培养一种信任和警惕的文化。Trust Wallet和Binance强调了持续监控、与更广泛的加密社区分享见解以防止进一步类似事件的重要性。

数字时代信任与用户信心的作用

像Trust Wallet这样的数字平台依赖于用户信任，这种商品随着每一次网络安全失误而不断受到考验。随着攻击变得越来越复杂，维护和恢复消费者信心不仅需要被动措施，还需要主动措施。这种信任构成了未来金融交易和数字资产管理建立的基础。

结论：前进的道路

为了在危险的网络威胁中航行，像Trust Wallet这样的公司应优先考虑透明度，投资于不仅用于恢复，而且用于预测和预防的技术和协议。Trust Wallet对受影响用户的赔偿是朝着这个方向迈出的关键一步，强调了在逆境中需要问责制和韧性。

这一事件是一个鲜明的提醒，在加密世界中，警惕等于生存。随着利益相关者继续创新，网络安全格局必须与技术进步同步发展。这是一场针对隐形敌人的持续战斗，风险很高——不仅在金钱方面，而且在数字信任的本质方面。

随着这次违规事件现在已成为过去，Trust Wallet、Binance和整个加密社区面临着一个机会和义务：学习、适应并更好地保护用户免受在充满活力但危险的数字前沿中潜伏的日益增加的威胁。

常见问题

Trust Wallet漏洞是如何发生的？

Trust Wallet的漏洞是通过其浏览器扩展程序中的弱点发生的，允许攻击者植入恶意代码。这个后门实现了对用户敏感信息和资金转移的未经授权的访问。

谁被怀疑是Trust Wallet黑客攻击的幕后黑手？

鉴于肇事者对源代码的熟悉程度以及能够未被察觉地引入后门的能力，人们怀疑有内部人员参与了Trust Wallet黑客攻击。

Binance计划如何处理Trust Wallet违规事件？

Binance通过其联合创始人赵长鹏保证，受影响的用户将获得损失赔偿，这加强了消费者在处理此类违规事件时信任的重要性。

用户可以采取什么措施来保护他们的数字钱包？

用户应定期更新其钱包软件，采用强身份验证方法，并对与账户相关的网络钓鱼攻击或可疑活动保持警惕。

为什么加密货币钱包是攻击的频繁目标？

加密货币钱包因其持有的巨额金融资产以及加密货币提供的相对匿名性，成为网络犯罪分子的诱人目标，这使得检测非法活动变得具有挑战性。

猜你喜欢

美伊谈判告吹，比特币上演7万关口保卫战

封锁霍尔木兹之后，战争何时才能结束？

美国夺走了伊朗最重要的筹码，但也失去了结束战争的路径

用马斯克的「西方微信」X Chat前，要先了解这三个问题

X Chat 本周五开放 App Store 下载。媒体已经把功能清单跑完了一遍，阅后即焚、截图拦截、481 人群组、Grok 集成、无需手机号注册，被普遍定位为「西方微信」。但有三个问题，几乎没有报道说清楚过。

X 的官方帮助页面上有一句话，至今还挂在 X 官网帮助页上：「如果恶意内部人员或 X 本身因法律程序而导致加密对话遭到泄露，发件人和收件人均将毫不知情。」

问题一：这个加密，和 Signal 的加密是同一种东西吗？

不是。差异在密钥放在哪里。

Signal 的端对端加密，密钥从不离开你的设备。X、法院、任何外部方都不持有你的密钥，Signal 的服务器根本没有能解密你消息的东西，被传票了也只能交出注册时间戳和上次连接时间，历史上已有传票记录为证。

X Chat 用的是 Juicebox 协议。这套方案把密钥切成三份，分别存放在 X 自己运营的三台服务器上。用 PIN 码恢复密钥时，系统从 X 的服务器取回这三份分片重新拼合。无论 PIN 码多复杂，密钥的实际保管方是 X，不是用户。

这就是「帮助页那句话」的技术背景：因为密钥在 X 的服务器上，X 具备在用户不知情的情况下响应法律程序的能力。Signal 没有这个能力，不是因为政策，是因为它手里根本没有密钥。

上图对比了 Signal、WhatsApp、Telegram 和 X Chat 六个维度的安全机制。X Chat 是四者中唯一由平台方持有密钥的，也是唯一没有前向保密（Forward Secrecy）的。

前向保密的意义在于，即便某个时间点的密钥泄露，历史消息也无法被解密，因为每条消息的密钥都不一样。Signal 的 Double Ratchet 协议在每条消息后自动更新密钥，X Chat 没有这个机制。

约翰斯·霍普金斯大学密码学教授马修·格林（Matthew Green）在 2025 年 6 月对 X Chat 架构进行分析后，给出的评价是：「If we judge XChat as an end-to-end encryption scheme, this seems like a pretty game-over type of vulnerability.」他后来又补了一句，「I would not trust this any more than I trust current unencrypted DMs.」

从 2025 年 9 月 TechCrunch 的报道，到 2026 年 4 月上架，这套架构没有任何改变。

马斯克在 2026 年 2 月 9 日发推承诺，X Chat 上架前将进行严格安全测试（「rigorous security tests of X Chat」），并开源全部代码（「open source all the code」）。

截至 4 月 17 日上架，没有独立第三方审计完成，GitHub 上没有官方代码仓库，App Store 的隐私标签显示 X Chat 收集位置、联系信息、搜索历史等五类以上数据，与上架营销文案「No Ads, No Trackers」的表述直接矛盾。

问题二：Grok 知道你在私信什么吗？

不是持续监控，但有一个明确的入口。

X Chat 的每条消息上，用户可以长按选择「Ask Grok」。点击这个按钮时，该条消息以明文形式传递给 Grok，从加密状态变为非加密状态就发生在这一步。

这个设计不是漏洞，是功能。但 X Chat 的隐私政策中没有说明这些明文数据是否会用于 Grok 的模型训练，也没有说明 Grok 是否会存储这段对话内容。用户主动点击「Ask Grok」，等于主动把那条消息的加密保护解除了。

还有一个结构性问题：这个按钮会以多快的速度从「可选功能」变成「默认习惯」。Grok 的回复质量越高，用户依赖它的频率就越高，流出加密保护的消息比例也随之升高。X Chat 的实际加密强度，从长期来看不只取决于 Juicebox 协议的设计，也取决于用户点击「Ask Grok」的频率。

问题三：为什么没有 Android 版？

X Chat 首发仅支持 iOS，Android 版只写「coming soon」，没有时间表。

全球智能手机市场，Android 占约 73%，iOS 约 27%（IDC/Statista，2025 年）。WhatsApp 的 31.4 亿月活用户中，73% 在 Android 上（据 Demand Sage）。在印度，WhatsApp 覆盖了 8.54 亿用户，印度的 Android 渗透率超过 95%。在巴西是 1.48 亿用户、81% Android，印度尼西亚是 1.12 亿用户、87% Android。

WhatsApp 在全球通讯市场的统治地位，是建立在 Android 上的。Signal 的月活约 8,500 万，也主要依赖 Android 国家的隐私意识用户。

X Chat 绕开了这个战场，有两种解读。一是技术债，X Chat 用 Rust 构建，跨平台支持并不容易，iOS 优先可能是工程节奏。二是战略选择，美国市场 iOS 占有率接近 55%，X 的核心用户群在美国，iOS 优先等于集中打自己的基本盘，而不是去 Android 主导的新兴市场和 WhatsApp 正面交手。

两种解读并不互斥，结果是一样的：X Chat 首发，主动放弃了全球 73% 的智能手机用户。

马斯克的「万能 App」

这件事已经有人描述过了：X Chat 加上 X Money 加上 Grok，三个系统构成数据闭环，平行于现有基础设施，逻辑上和微信生态相同。这个判断不是新的，但在 X Chat 上线这个节点，值得把接线图再看一遍。

X Chat 产生通讯元数据，包括谁在和谁聊、聊多久、多频繁，这些数据流入 X 平台的身份系统。消息内容的一部分通过 Ask Grok 功能进入 Grok 的处理链。资金流动由 X Money 处理：3 月完成外部公测，4 月对外开放，通过 Visa Direct 实现法币点对点转账，Fireblocks 高管确认加密货币支付计划在年底上线，目前已持有美国 40 个以上州的货币传输许可证。

微信的每项功能在中国监管框架内运作。马斯克的系统在西方监管框架内运作，但他同时担任政府效率部（DOGE）的负责人。这不是微信复制，是同一套逻辑在不同政治条件下的重演。

区别在于，微信从来没有在主界面上说它是「端对端加密的」，X Chat 说了。「端对端加密」在用户认知中意味着没有人能看到你的消息，包括平台方。X Chat 的架构设计达不到这一认知预期，但它使用了这个词。

X Chat 把「这个人是谁、他和谁说话、他的钱从哪来去哪」的三条数据线汇总在一家公司手里。

帮助页那句话，从来都不只是技术说明。