Trust Wallet 攻擊計劃提前數週，用戶將獲得全額賠償

資料來源：Coindoo 原文標題：Trust Wallet 漏洞提前數週規劃，使用者將獲全額賠償 原文連結：

與 Trust Wallet 相關的安全漏洞追蹤已回溯至資金實際被盜前數週，揭示了一場緩慢累積的攻擊，直到聖誕假期才浮出水面，並進入最後階段。

攻擊者並非突發性利用漏洞，而是耐心地在錢包的瀏覽器擴展流程中佈置自己。最終事件造成約 $7 百萬美元的損失，影響數百安裝特定版本擴展的桌面用戶。

重點摘要

• Trust Wallet 漏洞提前數週規劃，並在聖誕當天觸發。
• 約 $7 百萬美元被盜，涉及數百桌面錢包用戶。
• 攻擊手法包括在受感染的瀏覽器擴展中植入後門。

更新成為入侵點

事件核心在於 Trust Wallet 的 Chrome 瀏覽器擴展版本 2.68。使用該版本的用戶在不知情的情況下與受感染的程式碼互動，而行動錢包則未受到影響。Trust Wallet 隨後敦促用戶在發現可疑活動後立即升級到新版。

此案的不同之處在於時間點。雖然資金在聖誕當天被盜，區塊鏈安全研究人員指出，漏洞早在更早前就已準備好，暗示攻擊者等待足夠多的用戶曝光後才觸發盜取行動。

後門而非暴力破解

根據 SlowMist 分享的調查結果，嵌入擴展的惡意程式碼不僅能進行未授權轉帳，還會收集用戶資料並悄悄傳送至攻擊者控制的外部伺服器。

SlowMist 聯合創始人余賢描述了多步驟的作戰流程：12月的提前準備、聖誕前幾天插入後門，以及在環境準備就緒後執行。這種作序顯示攻擊者對擴展架構具有深入了解。

數百錢包，協調性轉移

區塊鏈調查員 ZachXBT 確認受影響的錢包數量達數百，資金轉移迅速且模式相似。交易的一致性加強了這不是用戶錯誤或釣魚攻擊，而是大規模協調性利用的觀點。

雖然 $7 百萬美元的損失較一些歷史性加密攻擊來說較小，但值得注意的是，這次攻擊針對的是個人錢包而非交易所，這一類攻擊面仍在持續擴大。

賠償與補償

Trust Wallet 由某大型交易所擁有，其管理層確認受影響的用戶將獲得全額賠償。管理層也承認事件的嚴重性，表示損失將由公司承擔，以限制受害者的直接財務損失。

然而，這份承諾並未能完全平息對於受感染擴展能否成功觸達用戶的疑慮。

內部人員介入受到關注

多位業界人士對此漏洞的性質表示警覺。攻擊者能夠推送修改版擴展並對程式碼庫有深刻了解，讓一些人懷疑內部人員涉入。

區塊鏈顧問連安迪公開質疑，這樣的攻擊是否可能在沒有內部知情的情況下發生。管理層也公開表示，這次漏洞“很可能”是內部人員所為。

對錢包用戶的更廣泛警示

Trust Wallet 事件發生之際，整體加密貨幣安全威脅正處於轉變之中。根據 Chainalysis 的資料，若排除異常大型交易所駭客事件，個人錢包遭攻擊的比例在 2025 年已超過三分之一的加密損失。

隨著交易所加強防禦，攻擊者越來越多地針對瀏覽器擴展和個人錢包，這些地方的更新機制和用戶信任更容易被利用。

超越即時損失

雖然賠償可能結束這次的財務損失，但事件留下的疑問仍未解答。受感染的程式碼是如何部署的？誰有權訪問擴展的開發流程？其他錢包提供商是否也存在類似風險？

目前來看，Trust Wallet 的漏洞提醒我們，在加密世界中，最危險的漏洞可能並不在區塊鏈本身，而是在用戶依賴的軟體層面。