加密貨幣錢包 Trust Wallet 今(26)晨六點多發出重大安全警報,證實其瀏覽器擴充功能 2.68 版存在嚴重漏洞,導致用戶資產外流。鏈上偵探 ZachXBT 追蹤顯示,受害者已達上百人,損失金額首次估算約 600 萬美元。
漏洞細節與損失規模
官方通告指出,受影響對象為手機版安裝 2.68 版擴充功能的用戶。Trust Wallet 在公告中強調:
「我們已發布 2.69 版修補,請所有瀏覽器擴充用戶立即升級。」
如果您也是 Trust Wallet 用戶並已安裝 2.68 版「請切勿匯入助記詞」並最好透過 Chrome 線上應用程式商店的官方連結進行升級。在受污染環境匯入過的助記詞最好視為洩漏,應創建全新錢包並將餘額遷移。
惡意腳本 4482.js 透過官方更新潛入
據了解,攻擊者於打包流程插入名為 4482.js 的檔案,並聲稱用於「Analytics」。它在偵測到使用者輸入助記詞時,將資料傳送至已註冊的網域 metrics-trustwallet.com,再藉自動化腳本於 EVM 相容鏈、Bitcoin 與 Solana 快速提出資產。
目前個別受害者回報損失從數萬到數十萬美元都有,下一步官方將如何進行潛在的賠償,動區為您持續追蹤。
