Trust Wallet 瀏覽器擴充程式遭供應鏈攻擊,全球用戶損失約 700 萬美元,官方承諾動用 SAFU 基金全額賠償。慢霧科技則表示,原因可能出在「代碼庫」已經被攻陷,用戶應儘速轉移資產。
(前情提要:CZ:Trust Wallet 錢包將賠付用戶資產損失,失竊金額達 700 萬美元 )
(背景補充:專訪 Trust Wallet CISO Eve Lam:錢包信任不靠口號,以獨立審計守護用戶資產 )
24 日,Trust Wallet 推出的瀏覽器擴充程式 v2.68 被確認內含惡意程式碼,短短兩天內造成用戶合計約 700 萬美元損失(官方統計)。CZ 隨即宣布所有損失將由官方賠付,由於事件性質屬於上架「假版本」攻擊,等同軟體在發布階段已含有漏洞,用戶無論操作是否謹慎,都難以倖免。
惡意程式碼如何潛入官方版本
根據慢霧團隊的逆向結果,攻擊者在 v2.68 中新增檔案 4482.js,偽裝成分析模組。當用戶輸入或導入助記詞時,腳本將私鑰打包並送往位於 api.metrics-trustwallet.com 的伺服器。由於發佈流程遭竊改,惡意元件隨官方簽章一同下發,防毒與瀏覽器審查無法即時攔截。
🔥重要提醒:持续有用户被盗,有使用受影响版本钱包的用户,一定要先断网!在导出助记词转移资产!
否则在线打开钱包就会被盗!
有助记词备份的一定先转移资产,在升级钱包!@evilcos @Foresight_News https://t.co/oxTGwxGwYl— 23pds (山哥) (@im23pds) December 26, 2025
鏈上證據顯示「專業團隊」作案
鏈上偵探 ZachXBT 與 Lookonchain 追蹤到多條熱度極高的出金路徑:BTC、ETH、SOL 被快速拆分後流入 KuCoin、ChangeNOW、FixedFloat 等平台,約 425 萬美元資金已完成洗出。截至 12 月 26 日清晨,攻擊者地址殘留約 280 萬美元。資金拆分速度、跳板帳號的準備程度,都顯示背後為訓練有素的團隊,不是臨時拼湊的釣魚集團。
官方反應與賠償方案
事件發酵超過 30 小時後,Trust Wallet 才發布公告坦承漏洞。實際控制人趙長鵬 (CZ) 隨即在社群貼文 中表態:
損失在可控範圍內,我們會透過 SAFU 基金進行全額賠償。
承諾雖暫時穩定市場,但也凸顯去中心化錢包一旦出事,仍仰賴中心化資本兜底的矛盾。
受影響用戶的緊急處置
僅更新或移除擴充程式不足以排除風險,因助記詞已外洩。資安團隊建議:
- 斷開網路,在離線環境生成新錢包。
- 使用硬體錢包或全新裝置輸入私鑰,轉移剩餘資產。
- 停用並永久棄置舊地址。
Trust Wallet 後續將公布完整鑑識報告與改進流程。資安社群則呼籲開源專案加速導入可重現建置 (Reproducible Build),減少供應鏈被竄改的機會。
