去年底，加密货币钱包服务Trust Wallet的Chrome扩展程序遭黑客攻击，大量用户在社交平台反馈资产被盗。当时运营团队推测，攻击者可能通过泄露的Chrome Web Store API密钥，从外部提交恶意版本，绕过发布流程的审核机制。至于黑客如何获取密钥，后续Trust Wallet指出，可能与近期发生的软件供应链攻击有关。

12月30日，Trust Wallet公布最新调查结果，确认攻击者获取密钥的源头，正是11月发生的NPM蠕虫供应链攻击活动Sha1-Hulud（Shai-Hulud 2.0）。攻击者借此获取了扩展程序的源代码及API密钥，并在Chrome Web Store上发布携带后门的恶意扩展程序，窃取用户钱包敏感信息。

在11月的供应链攻击中，Trust Wallet开发团队的GitHub机密信息被泄露，导致攻击者获得Chrome Web Store API的完整访问权限，可直接上传存在问题的扩展程序。此外，攻击者在实施攻击前，还注册了metrics-trustwallet.com和api.metrics-trustwallet.com两个域名，用于托管恶意代码，供恶意扩展程序调用。值得注意的是，攻击者上传的恶意版本（2.68版）竟顺利通过了Chrome Web Store的审核流程并自动上架，但Trust Wallet未进一步说明具体原因。

该运维团队进一步说明了受影响范围：凡在12月24日至26日期间使用过2.68版Chrome扩展程序登录钱包的用户，均可能遭受损失。团队已在受影响用户的扩展程序中显示警告提示，初步统计约有2,520个钱包被洗劫，损失总额约850万美元，黑客通过17个钱包转移被盗资产。值得注意的是，攻击者同时在转移与本次事件无关的其他加密货币资产，但未透露更多细节。1月3日，Trust Wallet通过社交平台X透露，仍有约3.6万个钱包存在安全风险，占用户总数的0.016%，并呼吁用户立即弃用旧钱包，尽快将资产迁移至新钱包以保障安全。