Trust Wallet 瀏覽器擴充功能爆重大漏洞　700 萬美元資產遭駭客竊取

根據 TokenPost 的報導，於 24 日（當地時間），知名加密貨幣錢包應用「Trust Wallet（信任錢包）」爆發重大安全漏洞，攻擊者透過其 Chrome 瀏覽器「擴充功能」的安全弱點，成功竊取約 700 萬美元（約新台幣 1 億 1000 萬元）用戶資金。Trust Wallet 隨後承認事件並承諾將對受害用戶「全額賠償」。

這次駭客攻擊鎖定 Trust Wallet 的瀏覽器擴充版本 2.68。該版本中遭植入惡意程式碼，導致使用者保存在錢包內的「助記詞（Mnemonic Phrase）」被全面竊取，進而造成數百個錢包資產外洩。公司發現事件後，已敦促用戶「停止使用」此版本，並升級至安全修補後的 2.69 版本。值得注意的是，Trust Wallet 的行動應用程式（Mobile App）與其他版本未受到此次事件波及。

此次事件的揭露起因是鏈上安全研究員 ZachXBT 在其 Telegram 頻道中分享多筆用戶異常提報提引關注。他指出，Version 2.68 釋出後僅數小時內，已有大量資金自用戶錢包中流失。該警告最終促使官方展開調查與公告。

區塊鏈安全公司 SlowMist（慢霧科技）進一步分析指出，此次攻擊屬「供應鏈攻擊（Supply Chain Attack）」，攻擊者利用版本更新機制在程式碼內部植入惡意程式，透過模擬正規分析工具的方式竊取助記詞，並將數據回傳至駭客控制的伺服器。

Trust Wallet 並非首次爆出瀏覽器插件安全問題。早在 2023 年，硬體錢包廠商 Ledger 的技術長 Charles Guillemet（查爾斯·吉耶梅）即指出，Trust Wallet 的 Chrome 擴充功能存在嚴重漏洞，當時尚未導致實際資金損失，但此次事件則造成實質財損。

全球最大加密貨幣交易所幣安（Binance）創辦人趙長鵬（Changpeng Zhao）亦於 X（原推特）發文，表示：「目前已確認約 700 萬美元受損資產，Trust Wallet 將為用戶提供『全額賠償』，確保所有資產受到 SAFU（用戶資產安全基金）保護。」

值得一提的是，Trust Wallet 自 2018 年起即由幣安收購，並迅速成為市場主流的去中心化自我託管錢包之一。這起事件也再度凸顯「瀏覽器擴充型錢包」在便利性背後所伴隨的資安風險。

評論：本起事件突顯「供應鏈攻擊」在加密貨幣生態中的高風險潛在性。即便是使用率高、自我託管的錢包，只要有版本更新與代碼管理失誤，仍可能造成災難性資產損失。建議用戶採取「多錢包備援」策略，並搭配硬體錢包分散風險。

總結來看，Trust Wallet Chrome 擴充功能版本 2.68 遭植入惡意程式，導致約 700 萬美元資產遭竊，受害者已獲官方「全額賠償」承諾。此次事件也提醒市場，使用高度便利工具時仍須重視安全稽核與版本控管，避免類似災難重演。「Trust Wallet」、「供應鏈攻擊」、「助記詞」、「瀏覽器擴充功能」亦成為本次事件的關鍵詞與安防焦點。