深潮 TechFlow 消息，5 月 11 日，据 SlowMist 披露，其安全监测系统 MistEye 发现一款假冒 TronLink 的 Chrome MV3 扩展，针对 TRON 钱包用户发起双层钓鱼攻击。该扩展通过 Unicode 混淆与品牌仿冒伪装为官方插件，安装后优先加载远程 iframe 弹窗页面，诱导用户输入助记词、私钥、密钥库文件及密码，并通过同源接口与 Telegram Bot 外传。涉事恶意基础设施包括 tronfind-api[.]tronfindexplorer[.]com 和 trx-scan-explorer[.]org，恶意扩展 ID 为 ekjidonhjmneoompmjbjofpjmhklpjdd。SlowMist 建议用户立即卸载该扩展，如已提交敏感信息，应尽快迁移资产并弃用原钱包。