24 日,Trust Wallet 推出的瀏覽器擴充程式 v2.68 被確認內含惡意程式碼,短短兩天內造成用戶合計約 700 萬美元損失(官方統計)。CZ 隨即宣布所有損失將由官方賠付,由於事件性質屬於上架「假版本」攻擊,等同軟體在發布階段已含有漏洞,用戶無論操作是否謹慎,都難以倖免。
惡意程式碼如何潛入官方版本
根據慢霧團隊的逆向結果,攻擊者在 v2.68 中新增檔案 4482.js,偽裝成分析模組。當用戶輸入或導入助記詞時,腳本將私鑰打包並送往位於 api.metrics-trustwallet.com 的伺服器。由於發佈流程遭竊改,惡意元件隨官方簽章一同下發,防毒與瀏覽器審查無法即時攔截。
鏈上證據顯示「專業團隊」作案
鏈上偵探 ZachXBT 與 Lookonchain 追蹤到多條熱度極高的出金路徑:BTC、ETH、SOL 被快速拆分後流入 KuCoin、ChangeNOW、FixedFloat 等平台,約 425 萬美元資金已完成洗出。截至 12 月 26 日清晨,攻擊者地址殘留約 280 萬美元。資金拆分速度、跳板帳號的準備程度,都顯示背後為訓練有素的團隊,不是臨時拼湊的釣魚集團。
官方反應與賠償方案
事件發酵超過 30 小時後,Trust Wallet 才發布公告坦承漏洞。實際控制人趙長鵬 (CZ) 隨即在社群貼文 中表態:
損失在可控範圍內,我們會透過 SAFU 基金進行全額賠償。
承諾雖暫時穩定市場,但也凸顯去中心化錢包一旦出事,仍仰賴中心化資本兜底的矛盾。
受影響用戶的緊急處置
僅更新或移除擴充程式不足以排除風險,因助記詞已外洩。資安團隊建議:
- 斷開網路,在離線環境生成新錢包。
- 使用硬體錢包或全新裝置輸入私鑰,轉移剩餘資產。
- 停用並永久棄置舊地址。
Trust Wallet 後續將公布完整鑑識報告與改進流程。資安社群則呼籲開源專案加速導入可重現建置 (Reproducible Build),減少供應鏈被竄改的機會。
