Trust Wallet Chrome 擴展遭遇重大安全漏洞，損失超過 430 萬美元

重大安全漏洞已危及 Trust Wallet Chrome 擴展，導致用戶面臨重大財務損失。在版本 2.68.0 推出後，許多錢包持有人反映在將種子短語導入受損擴展後，資產迅速被清空。此事件突顯了瀏覽器端錢包解決方案的關鍵漏洞，也引發了加密社群對擴展安全協議的廣泛關注。

攻擊展開：多資產協調性攻擊

區塊鏈研究員 ZachXBT 進行了深入調查，發現了一個高度協調的攻擊模式。攻擊專門針對多個受損錢包中的比特幣、以太坊和 BNB 持有量。此次漏洞的不同之處在於攻擊的激烈性——攻擊者並非逐步轉移資金，而是在受損瞬間，便用單一交易清空了整個錢包餘額。

交易分析顯示了一個複雜的操作流程。每次清空錢包後，盜取的資產迅速分散到多個中介地址。這種再分配策略有兩個目的：模糊資金流向，並增加執法和安全研究人員追蹤的難度。不同受損帳戶間的連續交易模式，顯示出攻擊者的精心策劃。

追蹤資金：已確認損失 430 萬美元

ZachXBT 的調查發現，主要地址從數十個受損錢包中累積資金，估計公開追蹤的損失約為 430 萬美元。然而，這個數字僅涵蓋公開可追蹤的交易和明確報告的事件。實際損失可能更高，因為許多受害者未立即披露損失。

調查還發現攻擊者控制的地址具有明顯特徵：一致的提款模式、系統性的資產合併，以及快速將資金轉移到其他地址。這些行為特徵進一步證明，這不是多起獨立事件，而是一個單一協調行動所致。

Trust Wallet 的回應與安全修補

意識到事態嚴重，Trust Wallet 開發團隊於 2025 年底發布官方聲明，公開指出根本原因是瀏覽器擴展版本 2.68 存在安全漏洞。聲明強調，此問題未影響其他 Trust Wallet 平台或實現。

團隊立即指示受影響用戶：立即停用受損擴展，並升級至包含安全修補的版本 2.69。這一快速反應——從識別漏洞、開發修補到發布——展現了 Trust Wallet 團隊對此事件的高度重視。此外，團隊承諾持續調查漏洞的利用方式，並防止類似事件再次發生。

對瀏覽器擴展安全的啟示

此次事件重新點燃了對瀏覽器端加密貨幣錢包固有風險的討論。與硬體錢包或本地安裝應用相比，瀏覽器擴展在瀏覽器環境中運行，並在用戶輸入種子短語時，能存取敏感資訊。

這次事件揭示了一個根本性挑戰：即使是像 Trust Wallet 這樣的知名項目，也可能面臨意想不到的漏洞。種子短語作為所有資金的主鑰匙，在輸入任何應用（包括瀏覽器擴展）時，都變得極為脆弱。用戶將種子短語輸入受損擴展，實質上將資產的完全控制權交給了攻擊者。

安全教訓與用戶建議

Trust Wallet 的安全事件提醒加密貨幣持有者應遵循以下幾個重要安全原則：

切勿分享種子短語：除非絕對必要，並且確認應用的合法性，否則絕不在任何線上應用（包括瀏覽器擴展）中輸入種子短語。

驗證擴展來源：始終從官方渠道下載擴展，避免使用來路不明的假冒擴展。

考慮替代方案：硬體錢包或離線密鑰管理方案，能為大量資產提供更高的安全保障。

主動監控帳戶：定期監控區塊鏈上的異常出站交易，能幫助及早發現資產被盜，降低損失。

這次安全事件清楚提醒我們，加密貨幣生態系統仍是高級攻擊者的目標，用戶必須保持警覺，採取嚴格的安全措施來保護自己的數字資產。