BlockBeats 消息,12月26日,今晨,用戶量最大的非託管加密錢包 Trust Wallet 正式發布安全警報,確認其瀏覽器擴充套件版本 2.68 存在安全漏洞。鏈上偵探 ZachXBT 披露,已有數百名 Trust Wallet 用戶資金被盜,損失至少達 600 萬美元。Trust Wallet 累積下載量已超過 2 億次,月活躍用戶約 1700 萬,市占率約 35%,此次安全事件影響廣泛。以下是幾款主流瀏覽器擴充套件曾遭遇的安全事件回顧:
2022年11月,Trust Wallet 瀏覽器擴充套件也曾被發現存在 WebAssembly 漏洞,僅影響 2022年11月14日至23日期間新創建的錢包地址,導致約 17 萬美元資金被盜。Trust Wallet 通過其漏洞賞金計劃發現問題,修復了漏洞,並全額賠償了受影響用戶。
2022年,MetaMask 遭遇「Demonic」漏洞,影響 10.11.3 之前的舊版本,私鑰可能在瀏覽器記憶體中暴露,但未發生已知的大規模資金損失。2023年至2025年,官方 MetaMask 錢包擴充套件運行安全,但頻繁受到假冒擴充套件影響。Chainalysis 報告顯示,2025年 MetaMask 用戶異常盜竊事件激增,主要歸因於假冒惡意軟體和釣魚攻擊,而非擴充套件錢包本身的安全性問題。MetaMask 一直發布月度安全報告,但作為熱門的以太坊擴充套件錢包,它仍是假冒的主要目標。
Phantom(主要的 Solana 錢包擴充套件)在2022年同樣受到「Demonic」漏洞影響,但同樣未發生已知的大規模資金損失。2025年初,Phantom 錢包擴充套件捲入一場安全爭議,一名用戶損失 50 萬美元,原因被歸咎於 Phantom 將私鑰未加密存儲在記憶體中導致駭客攻擊,並在紐約南區提起集體訴訟。Phantom 官方發布聲明強烈否認所有指控,稱該訴訟「毫無根據」,並強調 Phantom 是非託管錢包,資金安全責任在於用戶。
2022年,Rabby Wallet(一款對 DeFi 友好的擴充套件)因 Rabby Swap 漏洞遭駭客攻擊,被盜約 20 萬美元的加密資產,該漏洞並非源自擴充套件本身,而是內建的 Swap 功能。
瀏覽器擴充套件錢包最常見的被盜方式是通過假冒應用下載,2025年有多起此類事件集中在 Firefox 商店,影響了 MetaMask、Phantom、Trust Wallet 等主流加密擴充套件錢包。相比之下,擴充套件本身直接的官方漏洞較為罕見。建議用戶僅從官方 Chrome 線上應用商店下載,以確保資金安全。
