Foresight News 消息，区块链安全机构慢雾发布威胁情报报告，其 MistEye 安全监控系统近期捕获一个伪装成 TronLink 钱包的恶意 Chrome 扩展（ID：ekjidonhjmneoompmjbjofpjmhklpjdd），该扩展利用 Unicode 双向控制字符和西里尔字母仿冒 TronLink 品牌名称，并通过继承已有 Chrome 商店高评分扩展的评价数据（显示逾百万安装量及 4.5 星评级）降低用户戒心。 该攻击分为两层：第一层为恶意本地扩展，安装后优先加载远程 iframe 作为弹窗界面，仅申请最低权限以规避审核；第二层为托管于 Vercel 平台的远程钓鱼页面，完整仿冒 TronLink 网页钱包 UI，诱导用户输入助记词、私钥和 Keystore 文件后，通过 Telegram Bot（chat_id：8334454422）将凭证实时发送给攻击者。该钓鱼页面还内置访客识别与封锁逻辑、禁用右键及开发者工具等反分析机制，并针对俄语环境用户跳转至另一域名，以规避安全研究人员的动态分析。 慢雾建议：已安装该扩展的用户应立即卸载并清除本地存储；若曾在扩展或钓鱼页面输入钱包凭证，应立即在可信设备上创建新钱包并转移资产。相关恶意域名为 tronfind-api[.]tronfindexplorer[.]com 及 trx-scan-explorer[.]org。官方 TronLink 扩展 ID 为 ibnejdfjmmkpcnlpebklmnkoeoihofec，用户可通过对比 ID 自行验证真伪。 $BTC $ETH $SOL #特朗普再驳伊朗和平计划 #沃什5月15日接任美联储