5月11日,据SlowMist披露,其安全监测系统MistEye发现一款假冒Chrome MV3扩展,针对TRON钱包用户发起双层钓鱼攻击。 该扩展通过Unicode混淆与品牌仿冒伪装为官方插件,安装后优先加载远程 iframe 弹窗页面,诱导用户输入助记词、私钥、密钥库文件及密码,并通过同源接口与Telegram Bot外传。涉事恶意基础设施包括tronfind-api[.]tronfindexplorer[.]com 和trx-scan-explorer[.]org,恶意扩展ID为 ekjidonhjmneoompmjbjofpjmhklpjdd。SlowMist建议用户立即卸载该扩展,如已提交敏感信息,应尽快迁移资产并弃用原钱包。