Trust Wallet Chrome 擴充功能安全警示：識別與防範可疑程式碼的方法

2025年12月事件：Trust Wallet 用戶發生了什麼事

Trust Wallet Chrome 擴充元件於 2025年12月24日爆發重大安全事件，揭示瀏覽器型錢包在複雜攻擊下的安全弱點。當天，安全研究人員於 2.68.0 版本發現惡意程式碼，旋即引發整個加密貨幣領域警戒。此漏洞導致許多用戶帳戶遭受攻擊，聖誕期間約有 600 萬至 700 萬美元加密資產被盜。

攻擊經由一次例行性軟體更新展開，用戶從官方 Chrome 線上應用程式商店下載安裝後，只要在受影響版本中匯入助記詞，惡意程式碼便會竊取這些敏感資訊並轉移至攻擊者錢包。事件進展極快，用戶匯入助記詞後數分鐘內即出現未授權交易。Trust Wallet 官方確認此漏洞僅影響 2.68 版本，雖然波及範圍有限，但仍有數百名尚未升級的活躍用戶受害。官方支援團隊即時介入，主動聯繫受害用戶並展開調查。此次事件凸顯 Trust Wallet Chrome 擴充元件的核心安全風險：即使是成熟平台，也可能因供應鏈攻擊而破壞軟體發佈管道的安全。

如何辨識惡意程式碼，防止資產遭竊

發現瀏覽器擴充元件中的可疑程式碼時，需判斷正常更新與受損版本的行為及技術特徵。判斷 Trust Wallet Chrome 擴充元件是否存在惡意程式碼時，安裝或匯入敏感資訊前，應特別注意以下重點。

偵測可疑程式碼最有效的方法，是比對版本號與發佈時間是否與 Trust Wallet 官方公告一致。Trust Wallet 會透過社群媒體、官網及客服等管道釋出官方更新資訊。升級前，務必確認版本號與官方同步。正規版本會有完整說明，涵蓋新功能、修復及安全強化。若更新缺乏配套文件或未在正常週期發佈，須格外警覺。另可使用 Chrome 開發者工具檢查擴充元件原始碼。正規程式碼結構清楚，並有註解說明功能；惡意程式碼通常以混淆或壓縮方式隱藏真實用途。外部 API 請求指向未知網域，尤其涉及資料外洩時，更應留意。

另一項重要指標是察看更新前後授權設定變化。偵測 Trust Wallet 擴充元件是否存在可疑程式碼時，需檢查更新時權限是否被悄然新增。打開 Chrome 擴充元件管理頁面，審查 Trust Wallet 權限。正規擴充元件僅需錢包與區塊鏈互動權限，若新增檔案系統、剪貼簿等存取權，則可能含有惡意程式。尤其要警覺修改所有網站資料等超越錢包基本需求的權限。2.68.0 版本事件顯示，攻擊者常趁小幅更新偷偷提升權限，使擴充元件變成資料竊取工具。

此外，建議用戶每次擴充元件升級後立即檢查交易紀錄及代幣授權。可利用區塊鏈瀏覽器查驗錢包地址下所有授權狀況，發現異常合約或地址時，應立即撤銷授權。主動監控授權，是管理瀏覽器錢包最有效的安全措施之一。

立即保護加密資產的關鍵步驟

2025年12月事件後，用戶需採取系統性的即時防護措施，以因應當前威脅與助記詞管理的根本隱憂。不論是否已在擴充元件中匯入助記詞，建議即刻執行下列操作：

第一，立即前往 Chrome 擴充元件頁面停用受損的 Trust Wallet 2.68 版本，將其切換為關閉，勿開啟擴充元件頁面，避免觸發惡意程式碼。接著升級至 2.69 或更高修正版，並於元件詳情頁確認目前版本號。重啟前，務必清除瀏覽器快取與 Cookie，徹底移除殘留追蹤或注入程式碼。

第二，撤銷所有鏈上不必要的代幣授權。分別於 Etherscan 等區塊鏈瀏覽器輸入錢包地址，查驗所有授權紀錄。若發現不明合約或於 2.68 版本期間產生的授權，務必點選撤銷，及時阻斷攻擊者後續轉移資產的途徑。下表為不同使用情境的授權稽核建議：

第三，立即將高價值資產轉移至安全冷錢包，即使已修復漏洞並撤銷授權，仍建議假設私鑰已外洩。將資產轉移至從未連接過受損擴充元件的 Ledger、Trezor 等硬體錢包，徹底消除殘餘威脅。這是最徹底的資產保護方式。若助記詞已匯入被攻陷的擴充元件，應視該錢包永久失效，所有資金轉入由離線設備產生的新助記詞錢包。

第四，對所有剩餘熱錢包啟用 Trust Wallet 多重身分驗證。開啟生物辨識與 PIN 碼，建立多層防護。雖然這些措施無法阻止 2025年12月事件中的私鑰外洩，但如系統中仍有殘留惡意程式碼，能有效防範後續風險。務必啟用 Trust Wallet 內建安全掃描器，實時攔截可疑代幣與風險交易，多層防護同步因應多重攻擊手法。

每位加密用戶必備的瀏覽器擴充安全守則

欲確保瀏覽器錢包長期安全，必須徹底認知擴充元件的固有風險，並結合日常習慣落實切實可行的管控措施。Trust Wallet 瀏覽器擴充元件的安全架構適用所有加密錢包擴充元件，其原則超越個別事件。

首要原則是，瀏覽器擴充元件權限遠高於行動錢包，須額外謹慎。擴充元件能控制大量瀏覽器資料與 DOM，風險更高。除非業務需求，切勿在擴充元件中匯入助記詞。像 Ledger Live 等硬體錢包擴充元件因功能需求可作例外。建議將擴充元件安裝於專用瀏覽器設定檔，與日常瀏覽隔離，避免其他元件或受損網站的惡意程式入侵加密錢包。

最佳實務還需嚴格控管版本管理。啟用自動更新同時，每次更新後應多管道查核安全性，避免盲目信任。社群會於 Twitter、Reddit 等平台及專業安全資訊中快速預警，關注權威安全研究員及錢包官方帳號，可及早發現尚未公開的漏洞。切勿因擴充元件仍在 Chrome 應用程式商店上架而掉以輕心，2025年12月事件已證明官方發佈管道也可能遭攻陷。

擴充元件權限管控為安全根本。建議每季檢查一次所有加密擴充元件的權限變化。擴充元件僅應申請必要權限，錢包擴充元件只需區塊鏈互動，無須檔案系統、敏感本地儲存或全網站內容操作權限。若發現異常權限請求，立即解除安裝並更換方案。需要多個錢包擴充元件時，建議用不同瀏覽器設定檔分隔，防止權限堆疊擴大風險。

最後，必須意識到瀏覽器擴充元件是熱錢包固有風險入口。高資產用戶及機構建議優先選用硬體錢包與物理隔離簽名設備。擴充元件僅適合低至中等資產的便利場景。分級安全策略承認瀏覽器錢包安全始終無法等同冷儲存，但可滿足活躍交易和 DeFi 用戶的便利需求。像 Gate 等平台已建立更高安全標準，支援多種錢包連線及安全驗證協定，用戶可依自身風險偏好彈性選擇。