5月11日，据SlowMist披露，其安全监测系统MistEye发现一款假冒Chrome MV3扩展，针对TRON钱包用户发起双层钓鱼攻击。 该扩展通过Unicode混淆与品牌仿冒伪装为官方插件，安装后优先加载远程 iframe 弹窗页面，诱导用户输入助记词、私钥、密钥库文件及密码，并通过同源接口与Telegram Bot外传。涉事恶意基础设施包括tronfind-api[.]tronfindexplorer[.]com 和trx-scan-explorer[.]org，恶意扩展ID为 ekjidonhjmneoompmjbjofpjmhklpjdd。SlowMist建议用户立即卸载该扩展，如已提交敏感信息，应尽快迁移资产并弃用原钱包。