Trust Wallet 瀏覽器擴展如何耗盡資產——逐步解說

安全事件的經過：從安裝到盜竊

2024年12月標誌著瀏覽器錢包安全的轉折點。 一個看似正常的Trust Wallet瀏覽器擴展更新，卻暗藏邏輯，系統性地抽乾用戶帳戶——在幾分鐘內就損失了數百萬美元。

---

第一階段：可疑的更新

12月24日，擴展推出了新版本。表面上看起來無害：

• 發行說明中沒有安全警告
• 標準的更新流程
• 用戶照常安裝

這次欺騙成功了。沒有人立即察覺這不是普通的維護更新。

---

第二階段：JavaScript檔案中的隱藏程式碼變更

安全研究人員分析擴展檔案時，發現4482.js中出現了新邏輯。這是第一個警訊。在錢包擴展中，每一個新的外發通訊都應受到嚴格審查——但這裡已被突破。

---

第三階段：偽裝成合法的分析碼

惡意邏輯巧妙偽裝：

• 看起來像標準的遙測（Telemetry）碼
• 不會持續啟動
• 只在特定條件下運行

這種設計大大增加了發現的難度。簡單測試可能無法找到可疑的程式碼。

---

第四階段：關鍵觸發點——Seed短語導入

反向工程分析顯示，這段邏輯在用戶導入Seed短語時觸發。這是攻擊者的完美時機——因為：

• Seed短語能完全控制錢包
• 這通常是一次性操作
• 犯罪分子只需一次行動

只使用現有錢包的用戶可能避開了這個觸發點。

---

第五階段：資料外洩到假冒域名

當條件符合時，程式碼聲稱會將錢包資料傳送到一個外部伺服器：

metrics-trustwallet[.]com

欺騙非常完美：

• 域名類似Trust Wallet的子域名
• 在幾天前剛註冊
• 沒有公開記錄
• 不久後下線

---

第六階段：自動化資金轉移

用戶導入Seed短語後不久，數千個錢包被清空：

• 交易在幾分鐘內完成
• 多種資產同時轉移
• 不需要人工干預

鏈上數據顯示出自動化模式——攻擊者已掌握足夠控制權，能自行簽署交易。

---

第七階段：多錢包整合轉移資金

被盜資金流經數十個攻擊者帳戶。這不是巧合：

• 多個目標地址降低追蹤風險
• 明顯的自動化腳本
• 行為符合專業漏洞利用

根據追蹤交易的整體估計，損失達數百萬美元。

---

第八階段：快速抹除痕跡

在社群警覺後：

• 可疑域名被關閉
• 沒有立即公開說明
• 截圖和快取證據被嚴重利用

這是典型的攻擊者行為：一旦基礎設施被破壞，就立即摧毀。

---

第九階段：官方遲來的確認

Trust Wallet最終證實：

• 一次安全事件影響特定版本的擴展
• 行動裝置用戶未受影響
• 建議立即更新或停用

但仍有疑問：

• 為何該域名存在？
• Seed短語是否被洩露？
• 是否有內部或外部人員涉案？

這些疑點激起了各種猜測。

---

我們確定的事實

✓ 一次瀏覽器擴展更新引入了可疑的外發連線 ✓ 用戶在導入Seed短語後立即損失資金 ✓ 事件局限於特定版本 ✓ Trust Wallet確認了安全漏洞

---

強烈跡象指向

→ 供應鏈中的惡意程式碼注入 → Seed短語或簽名能力被攻破 → 分析用的程式碼被濫用為武器

---

尚未解答的問題

? 這段程式碼是否故意植入或上游被攻破 ? 受影響用戶的確切數量 ? 攻擊者的身份 ? 是否有其他敏感資料被外洩

---

為何此事件影響整個產業

這次事件不是一般的釣魚攻擊。它展現了：

瀏覽器擴展的脆弱性——它們掌握私鑰和Seed短語。一個小的程式碼錯誤或弱點都可能造成災難。

盲目信任更新的風險——用戶會自動安裝更新，卻不檢查程式碼。更新是完美的攻擊入口。

分析碼如何被濫用——遙測功能看似合法，但可能竊取敏感資料。

最危險的時刻：Seed短語管理——導入Seed短語是錢包使用中最危險的瞬間。

一個短暫的漏洞或故意放置的弱點，就能在幾分鐘內偷走數百萬。

**教訓：**在加密安全中，沒有瑣事。每次更新都要謹慎，不能輕信。