插件錢包安全事件概覽：受假冒軟體與網路釣魚攻擊困擾，官方直接漏洞較少

BlockBeats News，12月26日。今晨，Trust Wallet官方正式發布安全公告，確認Trust Wallet瀏覽器擴充功能2.68版本存在安全漏洞。根據鏈上偵探ZachXBT的監控，已有數百名Trust Wallet用戶資金被盜，損失總額至少達到600萬美元。多款主流瀏覽器擴充功能近期出現如下安全事件：

Trust Wallet瀏覽器擴充功能曾於2022年11月被發現存在WebAssembly漏洞，僅影響2022年11月14日至23日期間新創建的錢包地址，導致約17萬美元被盜。Trust Wallet通過漏洞懸賞計劃發現該問題，隨後修補漏洞，並對受影響用戶進行了全額賠償。

MetaMask於2022年出現過「Demonic」漏洞，影響10.11.3之前的舊版本，私鑰可能暴露於瀏覽器記憶體中。但當時並未出現大規模資金損失。隨後在2023年至2025年間，MetaMask官方錢包擴充功能運行安全，但經常受到假冒擴充程式的影響。Chainalysis報告顯示，2025年MetaMask用戶異常盜竊事件大幅增加，主要原因是偽造惡意軟體和釣魚，而非插件錢包本身的安全問題。MetaMask現已就此每月發布安全報告。然而，作為熱門的Ethereum插件錢包，MetaMask仍是被仿冒的主要目標。

Phantom（主流Solana錢包擴充功能）同樣於2022年遭遇「Demonic」漏洞，未出現重大資金損失。2025年初，Phantom錢包擴充功能出現安全爭議，一名用戶因私鑰未經Phantom加密存儲於記憶體中而被駭客攻擊，損失50萬美元。此事件在紐約南區法院引發集體訴訟。Phantom團隊強烈否認所有指控，稱該訴訟「毫無根據」，並強調Phantom為非託管錢包，用戶需自行承擔資金安全責任。

Rabby Wallet（DeFi友好型擴充功能）於2022年因Rabby Swap漏洞遭駭，駭客盜取約20萬美元加密資產。該漏洞並非來自插件本身，而是內建Swap功能。

瀏覽器擴充錢包最常見的攻擊方式是通過下載假冒應用。2025年，Firefox商店多次爆發此類事件，影響MetaMask、Phantom、Trust Wallet等多款主流加密插件錢包。相比之下，插件本身出現官方漏洞的情況相對罕見。建議用戶僅從官方Chrome Web Store下載，以確保資金安全。