新聞 
幣種資訊 
關於我們 
根據 The Block 的報導,於 24 日(當地時間),加密貨幣錢包平台 Trust Wallet 因瀏覽器擴充程式遭惡意攻擊,導致用戶資產損失超過 850 萬美元(約新臺幣 2.7 億元),其原訂的受害者損失賠償機制再度因 Chrome 擴充功能的技術性錯誤而延期執行。該事件凸顯在缺乏嚴格安全審核的環境下,Web3 擴充外掛的潛在風險與漏洞。
根據 Trust Wallet 執行長陳曉雯(Eowyn Chen)說法,原訂最新版擴充程式內建「錢包歸屬驗證功能」,讓受害使用者能夠聲明所有權並提出賠償請求。然而,在程式提交 Chrome Web Store 過程中,出現意外 Bug,導致推送作業中斷,不得不延後更新上線時間。她提醒使用者,在新版工具釋出前,務必小心第三方假冒擴充工具。
此次漏洞的起點,得追溯至 2023 年 12 月 25 日的安全事件。Trust Wallet 坦言,其 Chrome 擴充版本 2.68 在未經完整內部檢查下上架,而其中藏有惡意程式碼。駭客透過該程式暗中竊取使用者的私鑰與「種子片語」(Seed Phrase),自總計 2,520 個錢包中盜走約 850 萬美金資產。受害用戶範圍限定於在 2023 年 12 月 24 日至 26 日間安裝該版本並登入的瀏覽器使用者;行動裝置用戶、或使用其他版本的使用者則不受影響。
專家指出,駭客使用的惡意程式具有高度偽裝性,因而能順利通過 Chrome 商店的若干審核流程。一旦使用者在擴充內輸入恢復片語,駭客即能同步將資產快速轉出至多個區塊鏈平台。
Trust Wallet 認為,此次攻擊與 2023 年曝光的全球性「Sha1-Hulud」供應鏈攻擊案相關。該行動中,駭客滲透多家開發者工具平台,竊取 GitHub 資訊與 Chrome API 金鑰,進而繞過驗證流程直接釋出惡意程式。該錢包業者隨後已回復至安全版本 2.69,並停用受影響的發行金鑰;此外,自 12 月 29 日起啟動受害人賠償投件通道,要求用戶提供錢包地址、交易紀錄與身分驗證資料。
雖然目前已收到超過 5,000 筆理賠請求,但實際涉及受害錢包數量遠遠低於此數量,引發社群對「重複投件」及「造假請求」的擔憂。Trust Wallet 已承諾將加強驗證機制,並於後續更新中納入必要的重新檢核功能,惟受 Chrome Web Store 限制影響,一切延宕至今。
評論:這起安全事故再度提醒用戶,保管加密資產時絕不可輕忽「擴充功能」的潛在風險。「種子片語」作為復原錢包的關鍵資訊,絕不可於任何聯網平台輸入,包括官方擴充外掛。使用擴充所建錢包應僅作日常小額用途,而大量資產建議透過 Ledger 或 Trezor 等硬體錢包離線保存。
Trust Wallet 案件不只是單一項目的資安問題,也反映整體 Web3 生態中,對供應鏈攻擊的防衛疏忽。隨著個人錢包駭入案例逐年上升,用戶唯有提升風險意識、採取多層次防禦,才能在去中心化的自由與安全之間取得平衡。
關鍵詞:Trust Wallet、擴充功能、錢包駭客、供應鏈攻擊、Sha1-Hulud、補償機制、種子片語、資產安全、個人錢包、Web3 安全
留言 0