5 月 11 日，慢雾团队近日发出警告，发现一起专门针对 TRON 钱包用户的高风险钓鱼事件。攻击者制作了一款仿冒 TronLink 官方钱包的 Chrome 浏览器插件，利用 Unicode 双向控制字符和西里尔字母中的视觉相似字符伪造插件名称，以此欺骗用户。该恶意插件在 Chrome 网上应用店中展示的名称与正版极为相似，且沿用了真实插件积累的高下载量和用户好评，从而降低了普通用户的防备心理。插件本体代码量很少，仅负责从远程服务器加载一个完整的钓鱼页面，形成「壳与核分离」的攻击链条，导致常规的静态代码审查很难发现恶意行为。远程加载的钓鱼页面在视觉上与真实的 TronLink 网页钱包几乎完全一致，专门用于诱骗用户输入助记词、私钥、Keystore 文件和钱包密码。一旦用户提交，这些敏感信息会通过 Telegram 机器人立即发送给攻击者。此外，该页面还内置了反调试功能，会禁止右键菜单、开发者工具、拖拽操作和页面打印，并且会根据用户的地理位置和语言设置（尤其是俄语用户）进行跳转，以躲避自动化的安全扫描。慢雾建议用户立即检查并卸载来历不明的可疑扩展程序，清理浏览器本地存储数据，留意是否存在异常网络请求。若已不慎泄露钱包信息，应立即创建全新钱包并将所有资产转移至安全地址。