Trust Wallet的助記詞洩露危機，安全性研究人員警告新的供應鏈攻擊

2024年12月26日、安全性社群報告了一項震驚的發現。根據PANews的報導，知名錢包「Trust Wallet」的瀏覽器擴展功能疑似感染了惡意程式碼，該程式碼竊取用戶的助記詞（用於恢復私鑰的12至24個詞的恢復短語）。此發現由安全研究員@im23pds與@0xakinator透過詳細分析揭露。

惡意程式碼的真面目

Trust Wallet瀏覽器擴展版本2.68中，嵌入了一個名為「4482.js」的非法檔案。乍看之下，這個惡意程式碼似乎是普通的分析工具，但實際上卻藏有極其危險的功能。在用戶導入錢包的過程中，該程式碼在背景自動提取助記詞，並將其傳送至攻擊者控制的外部域名。

助記詞竊取流程與攻擊機制

攻擊者利用一個與官方域名極為相似的釣魚域名「metrics-trustwallet[.]com」進行惡意操作。用戶在不知情的情況下，其最重要的秘密資訊——助記詞，會被傳送到該伺服器。目前，該域名已無法訪問，但流出助記詞的時間範圍、規模仍不明。此類供應鏈攻擊是極其惡劣的威脅，個別用戶難以防範。

用戶應採取的緊急措施

此事件顯示，即使是可信的錢包供應商，也不能保證絕對安全。建議Trust Wallet用戶立即生成新的恢復短語，並使現有的助記詞失效。此外，使用多個錢包管理工具或對大額資產採用冷錢包，也是有效的防禦措施。安全研究員的快速發現與通報，有助於防止事件擴大，但用戶的警覺心與迅速應對，仍是克服此類事件的關鍵。