跨鏈駭客攻擊蔓延　逾百錢包遭竊損失達 10.7 萬美元

一場針對多條區塊鏈的跨鏈駭客攻擊正在持續發生，數百個加密錢包疑遭小額盜領，損失金額已達逾 10.7 萬美元（約合新台幣 310 萬元）。根據區塊鏈分析師 ZachXBT 於 2 日（當地時間）在社群平台 X（前身為 Twitter）警告，該起駭客行動規模龐大，並非單一用戶遭殃，更凸顯加密社群在面對「跨鏈安全風險」上的脆弱。

ZachXBT 指出，大多受害用戶每人損失低於 2,000 美元，但攻擊者的目標遍及眾多 EVM 相容的區塊鏈，採用「分散式滲透」方式，透過多起小額竊盜削弱偵測效率。他特別呼籲受影響使用者提供錢包資訊，以協助追蹤可疑地址「0xAc2***9bFB」及其相關活動。

根據當前情報，此次行動並非單一事件，而可能與 12 月一連串的駭客攻擊有所關聯。統計指出，光是上月就發生 26 起重大安全事故，累計損失高達 7,600 萬美元。當中包括耶誕節當天發生的 Trust Wallet 擴充套件事件，造成超過 700 萬美元的資產損失。

多位安全專家將此次行動分析為「高階跨鏈滲透式攻擊」，駭客並未鎖定特定錢包，而是利用大量假地址、混淆交易及跨鏈漏洞進行佈局。形同過去常見的「地址投毒」或「私鑰外洩」詐騙，但此次行動更加縝密，有組織、有規模，也難以即時防範。

其中，Trust Wallet 擴充套件的被駭事件尤其令人關注。該事件起於 12 月 24 至 26 日間，受影響用戶共計 2,520 人，涉及約 850 萬美元資金。官方指出，攻擊者透過名為「Sha1-Hulud」的供應鏈攻擊，鑽漏洞將惡意程式碼藏入新版（2.68）的擴充功能程式中，並悄然上架至 Chrome Web Store，繞過 Google 安全審核。該惡意程式偽裝成正常錢包功能，但實際會竊取使用者的助記詞（Seed Phrase），使得攻擊行動得以在不被察覺的情況下持續擴散。

Trust Wallet 執行長陳以文（Eowyn Chen）說明，這起事件反映 Chrome 新版發布時的技術瑕疵。雖然目前官方已下架問題版本並展開詳查，但受害者的資金多半難以追回。

評論：此次事件再次突顯供應鏈安全的根本問題。即便是通過 Google 審核的擴充功能，也可能內含惡意程式。這表示開發者平台（如 GitHub）與 API 金鑰的使用安全，以及企業內部部署流程的完整性，皆是未來加密產業不可忽視的關鍵議題。

從攻擊技術層面觀察，專家指出這波攻擊更像是一種社交工程滲透，問題源自人為操作不當與程序鬆散。根據 Immunefi 執行長米契爾·阿瑪多（Mitchell Amador）表示，現今駭客已不再局限於破解智慧合約，而是轉而針對從開發階段到升級流程中的人為漏洞進行攻擊。

儘管去年 12 月的整體加密駭客損失總額比前月下降約 60%，但單一事件的受災金額依舊驚人。例如，有用戶因地址相似問題而將價值高達 5,000 萬美元的資產誤發送至駭客錢包，另一起則是多人共管錢包（Multisig Wallet）中私鑰外洩，導致近 2,730 萬美元損失。

此外，美國紐約布魯克林居民羅納德·史畢克特（Ronald Spector）也因冒充客服人員致電超過 100 位 Coinbase 用戶，成功詐得逾 1,600 萬美元，正面臨司法起訴。

面對一連串駭客事件，資安專家呼籲投資者與用戶強化安全警戒，尤其在操作過程上務必提高警覺。安裝加密錢包擴充功能前應仔細核對版本號、開發者資訊，避免點擊陌生來源的去中心化應用程式（dApp）連結，並確認所有錢包地址的前後位元一致。

評論：在去中心化金融（DeFi）與 Web3 不斷擴張的生態下，中央管理者無法即時干預，也代表回復資產的難度更高。此時個人防線成了保護資產的最後一道防火牆，用戶不僅要依賴技術，更要倚靠「操作風險管理能力」。

隨著跨鏈技術日益普及，行動方式更為複雜、風險也更難預測。此次大規模跨鏈盜竊凸顯，區塊鏈安全防護的戰場已由智慧合約轉移至操作流程與人為管理漏洞，生態系統的每一環節都應重新審視安全策略與執行準則，以防範下一波更大規模的攻擊。

關鍵詞：跨鏈駭客、Trust Wallet、地址投毒、供應鏈攻擊、ZachXBT、分散式攻擊、助記詞盜竊、安全風險、EVM 相容鏈、資安漏洞