比利時頂尖學府 KU Leuven 近日揭露「加密貨幣錢包」瀏覽器擴充功能存在結構性漏洞,牽涉規模相當驚人。研究團隊分析 85 款熱門「詞加密貨幣錢包」擴充程式後發現,這些工具會將使用者的「詞可識別資訊」洩露給外部追蹤器與 RPC 服務提供商,導致逾「詞3,500 萬名」用戶的操作行為與 IP 位置,可能被直接對應到其錢包地址。
根據 KU Leuven 說明,問題不僅是「詞資料外洩」這麼單純。相當多瀏覽器錢包在使用者登出或刪除工作階段(Session)資料後,仍未妥善回收地址存取權限,等於在背景持續暴露使用者的鏈上身份。這種設計缺陷,可能被不法分子用來鎖定特定用戶,發動「詞精準網路釣魚」或「詞勒索攻擊」,風險遠超出一般追蹤 Cookie 的層級。
KU Leuven 並未公開具體 85 款擴充程式名單,只表示受影響的主要是「詞多鏈錢包」與「詞以太坊相容錢包」,且多數可在 Chrome 線上應用程式商店輕易下載,顯示此類產品的隱私防護普遍不足。
部分業者已經做出技術回應。研究指出,「詞Coinbase Wallet」、「詞Coin98」、「詞Hana Wallet」等服務商已針對第三方追蹤問題推出修補程式,試圖降低敏感資料被外傳的可能性。相對之下,「詞OKX Wallet」、「詞Bybit Wallet」、「詞Core Wallet」則將此次披露歸類為「低風險」事件,調整優先順序,顯示各錢包團隊對隱私議題的風險評估仍有明顯落差。KU Leuven 計畫在 2026 年 7 月 20 日至 25 日舉行的「詞隱私強化技術研討會(PETS)」正式發表這項研究成果。
評論
這次事件凸顯「詞瀏覽器錢包架構」長期被忽視的一環:即便使用者自認已登出或清除紀錄,身分與地址關聯仍可能持續存在於第三方服務的紀錄中。對熟悉鏈上隱私風險的專業投資人與開發者而言,這類資料殘留意味著攻擊者能更精準地對高價值目標下手,從詐騙、恐嚇到「鏈上行為監控」,可能性遠比一般 Web2 追蹤嚴重。
這起研究結果,也與近期多起安全與詐騙風波互相呼應。近期「詞SpaceXAI」與「詞Starlink」的 X(舊稱 Twitter)帳號遭駭,被用來宣傳迷因幣「詞SCATMAN」,最終涉案者疑似在短時間內吸走約 12.5 萬美元資金後關盤「詞Rug Pull」。同一時間,美國聯準會(Fed)明確表態不會為失敗的「詞加密貨幣專案」提供紓困,強調市場參與者仍須自負高風險,讓「詞買者自負」的老問題再度浮上檯面。
匯市方面,文中提到的「詞韓元/美元」匯率落在 1 美元兌 1,490.60 韓元附近。對散戶與機構而言,這樣的宏觀環境與匯率波動,疊加「詞系統安全」、「詞錢包架構」和「詞用戶識別資訊外洩」等多重技術風險,使整體「詞加密貨幣市場」的風險溢價難以下降。
評論
KU Leuven 的這份研究,等於給「詞加密貨幣錢包」敲了一記警鐘:方便的瀏覽器擴充功能背後,可能藏著遠比使用者想像更嚴重的追蹤與去匿名化風險。對開發團隊而言,未來在設計錢包時,必須把「詞最小化資料蒐集」、「詞預設隱私保護」與「詞第三方服務審查」視為核心標準,而非附加選項。對用戶來說,重新檢視自己使用的錢包是否有明確的隱私政策與開源程式碼,並適度區分「高資產錢包」與「日常互動錢包」,也將成為降低風險的必要步驟。這次 KU Leuven 的發現,很可能成為下一輪「詞錢包隱私與安全標準」談判的起點。
留言 0