24 日,Trust Wallet 推出的浏览器扩充程式 v2.68 被确认内含恶意程式码,短短两天内造成用户合计约 700 万美元损失(官方统计)。CZ 随即宣布所有损失将由官方赔付,由于事件性质属于上架「假版本」攻击,等同软体在发布阶段已含有漏洞,用户无论操作是否谨慎,都难以幸免。
恶意程式码如何潜入官方版本
根据慢雾团队的逆向结果,攻击者在 v2.68 中新增档案 4482.js,伪装成分析模组。当用户输入或导入助记词时,脚本将私钥打包并送往位于 api.metrics-trustwallet.com 的伺服器。由于发布流程遭窃改,恶意元件随官方签章一同下发,防毒与浏览器审查无法即时拦截。
链上证据显示「专业团队」作案
链上侦探 ZachXBT 与 Lookonchain 追踪到多条热度极高的出金路径:BTC、ETH、SOL 被快速拆分后流入 KuCoin、ChangeNOW、FixedFloat 等平台,约 425 万美元资金已完成洗出。截至 12 月 26 日清晨,攻击者地址残留约 280 万美元。资金拆分速度、跳板帐号的准备程度,都显示背后为训练有素的团队,不是临时拼凑的钓鱼集团。
官方反应与赔偿方案
事件发酵超过 30 小时后,Trust Wallet 才发布公告坦承漏洞。实际控制人赵长鹏 (CZ) 随即在社群贴文 中表态:
损失在可控范围内,我们会透过 SAFU 基金进行全额赔偿。
承诺虽暂时稳定市场,但也凸显去中心化钱包一旦出事,仍仰赖中心化资本兜底的矛盾。
受影响用户的紧急处置
仅更新或移除扩充程式不足以排除风险,因助记词已外泄。资安团队建议:
- 断开网路,在离线环境生成新钱包。
- 使用硬体钱包或全新装置输入私钥,转移剩余资产。
- 停用并永久弃置旧地址。
Trust Wallet 后续将公布完整鉴识报告与改进流程。资安社群则呼吁开源专案加速导入可重现建置 (Reproducible Build),减少供应链被窜改的机会。
