Trust Wallet 遭遇透過 Chrome 擴展的重大安全漏洞

在其 Chrome 瀏覽器擴展更新後，Trust Wallet 用戶遭遇重大安全漏洞。自版本 2.68.0 推出後，用戶反映在受感染的擴展中輸入恢復短語後，數字貨幣資產迅速被盜——在幾分鐘內，資金就被大量轉移。此次安全漏洞影響了比特幣、以太坊和 BNB 的餘額，初步估計損失達數百萬美元。此事件再次引發對瀏覽器端加密貨幣存儲方案固有風險的嚴重關注。

協調攻擊導致多個錢包被盜

區塊鏈研究員 ZachXBT 發現了可疑的交易模式，揭示了此次攻擊的組織性。擴展更新後，許多 Trust Wallet 地址出現了異常的快速資金外流。攻擊者並非逐步轉移資金，而是在幾秒內將整個餘額一次性轉移到中介地址，進行激烈的交易。

區塊鏈分析顯示了一個明確的作案手法：攻擊者針對特定資產（比特幣、以太坊和 BNB），將每個錢包完全清空，然後通過多層地址路由被盜資金。這些交易模式在數十個受感染的錢包中高度一致，強烈表明這是一場有組織的系統性攻擊，而非孤立事件。

使此次安全漏洞尤為令人擔憂的是其執行速度。一旦用戶在惡意擴展中輸入種子短語，資金幾乎瞬間被盜，幾乎沒有時間進行干預或被監控系統察覺。

損失追蹤至430萬美元以上

區塊鏈公開數據顯示，至少有430萬美元的加密貨幣從受感染的錢包轉移到與攻擊者相關的可疑地址。然而，這個數字僅包括公開追蹤的交易和已報告的事件。安全研究人員認為，實際的損失規模可能遠大，還有未報告的用戶尚未披露其資產被盜的情況。

ZachXBT 識別出一些關鍵的中介地址，這些地址在資金被盜後進行了集中存放，然後再進行分散。分析顯示，這些地址從多個受感染的錢包提取資產，並展現出幾乎相同的交易簽名，進一步證明了此次攻擊背後的集中協調。

快速反應與恢復措施

意識到事態嚴重性，Trust Wallet 開發團隊迅速行動以控制事態。2025年12月26日，他們發布了官方聲明，澄清安全漏洞僅限於 Chrome 擴展版本 2.68.0。團隊立即建議用戶禁用受感染的擴展，並升級至包含關鍵安全修復的版本 2.69。

官方披露承認此次安全漏洞的嚴重性，同時強調正在進行積極調查，以找出根本原因並防止類似事件再次發生。快速推出修補程序——從 2.68.0 升級到 2.69——是限制進一步損失的及時措施。

此事件凸顯了瀏覽器端加密貨幣管理的持續風險。雖然瀏覽器擴展提供了便利，但相較於硬體錢包或離線存儲方案，它們的攻擊面更大。隨著加密貨幣行業的不斷成熟，Trust Wallet 受到的安全事件再次提醒我們，採用多層安全措施並在管理數字資產時權衡便利性與安全性的重要性。