Trust Wallet 擴充功能版遭駭客攻擊，損失金額逾 600 萬美元，官方火速釋出修補更新

12 月 26 日清晨，Trust Wallet 發布安全警示，確認 Trust Wallet 瀏覽器擴充套件 2.68 版本存在安全漏洞，所有使用 2.68 版本的用戶應立即停用該擴充套件，並透過官方 Chrome Web Store 連結升級至 2.69 版本。

根據派盾監控，Trust Wallet 漏洞被利用事件中，駭客已從受害者手中竊取超過 600 萬美元加密資產。

目前，約 280 萬美元遭竊資金仍存於駭客錢包（Bitcoin / EVM / Solana），逾 400 萬美元加密資產已轉入中心化交易所，分別為：約 330 萬美元流向 ChangeNOW、約 34 萬美元流向 FixedFloat、約 44.7 萬美元流向 Kucoin。

隨著受害用戶快速增加，Trust Wallet 2.68 版本的原始碼審計工作亦立即展開。資安團隊慢霧（SlowMist）對比 2.68.0（含惡意程式碼版本）與 2.69.0（修正版）原始碼後，發現駭客植入了一組偽裝成正規資料收集的程式碼，將官方擴充套件變成竊取隱私的後門。

分析：Trust Wallet 相關開發人員設備或程式碼倉庫恐遭駭客掌控

慢霧安全團隊分析指出，本次攻擊的關鍵載體正是 Trust Wallet 瀏覽器擴充套件 2.68.0 版本。經比對修正版 2.69.0，安全團隊於舊版中發現一段高度偽裝的惡意程式碼。詳見下圖。

該後門程式碼新增 PostHog，蒐集錢包用戶各類隱私資訊（包含助記詞），並傳送至攻擊者伺服器 api.metrics-trustwallet [.] com。

根據原始碼變動與鏈上行為，慢霧推估本次攻擊時間軸如下：

• 12 月 08 日：攻擊者開始相關準備；
• 12 月 22 日：成功將植入後門的 2.68 版本上線；
• 12 月 25 日：利用聖誕假期，攻擊者根據竊取的助記詞轉移資產，事件隨即曝光。

此外，慢霧分析認為，攻擊者對 Trust Wallet 擴充套件原始碼極為熟悉。值得一提的是，目前修正版（2.69.0）雖已阻斷惡意傳輸，但尚未移除 PostHog JS 函式庫。

同時，慢霧科技首席資訊安全長 23pds 於社群媒體發文表示：「經慢霧分析，有理由相信 Trust Wallet 相關開發人員設備或程式碼倉庫可能遭駭客控制，請務必斷網並檢查相關人員設備。」他進一步指出：「受 Trust Wallet 影響版本用戶務必先斷網，再導出助記詞並轉移資產，否則線上開啟錢包將面臨資產被盜風險。有助記詞備份者請先完成資產轉移，再進行錢包升級。」

瀏覽器擴充套件安全事件頻傳

他同時指出，攻擊者顯然熟悉 Trust Wallet 擴充套件原始碼，植入 PostHog JS 以蒐集用戶錢包多項資訊。目前 Trust Wallet 修正版仍未移除 PostHog JS。

這次 Trust Wallet 官方版本遭植入木馬，讓市場聯想到過去數年多起針對熱錢包前端的重大攻擊事件。從攻擊手法到漏洞成因，這些案例為本案提供重要參考。

• 當官方管道不再安全

本次 Trust Wallet 事件與軟體供應鏈及分發管道攻擊極為相似。在這類事件中，用戶即使沒有操作失誤，僅因下載「正版軟體」亦可能成為受害者。

Ledger Connect Kit 投毒案（2023 年 12 月）：硬體錢包大廠 Ledger 前端程式碼庫遭駭客釣魚取得權限，並上傳惡意更新包，導致包含 SushiSwap 在內多個主流 dApp 前端遭污染，彈出偽造連線視窗。此案被視為「供應鏈攻擊」經典，證明即使安全聲譽極高的企業，其 Web2 分發管道（如 NPM）依然是高風險單點。

Hola VPN 與 Mega 擴充套件劫持（2018 年）：2018 年知名 VPN 服務 Hola 的 Chrome 擴充套件開發者帳號遭駭，駭客推送含惡意程式碼的「官方更新」，專門監控並竊取 MyEtherWallet 用戶私鑰。

• 原始碼缺陷：助記詞「裸奔」風險

除外部投毒外，錢包在處理助記詞、私鑰等敏感資料時的實作缺陷，也可能導致大規模資產損失。

Slope Wallet 日誌系統蒐集敏感資訊爭議（2022 年 8 月）：Solana 生態曾爆發大規模盜幣事件，事後調查報告之一聚焦 Slope 錢包，其某版本將私鑰或助記詞發送至 Sentry 服務（此 Sentry 為 Slope 團隊私設，非官方服務）。但資安公司亦指出，目前尚無法明確證明 Slope 錢包為事件根本原因，仍需大量技術調查與進一步證據。

Trust Wallet 低熵金鑰產生漏洞（CVE-2023-31290，利用可追溯至 2022 / 2023）：Trust Wallet 瀏覽器擴充套件曾揭露隨機性不足，攻擊者可利用僅 32-bit 種子帶來的可枚舉性，在特定版本內高效識別並推導受影響錢包位址，進而竊取資產。

• 「李逵」與「李鬼」的攻防

瀏覽器擴充錢包與搜尋生態長期存在假插件、假下載頁、假更新彈窗、假客服訊息等灰產鏈。用戶若於非官方管道安裝或在釣魚頁輸入助記詞／私鑰，資產將瞬間被清空。當官方版本亦可能出現風險時，安全邊界進一步壓縮，二次詐騙更易趁亂爆發。

截至截稿，Trust Wallet 官方已敦促所有受影響用戶盡速升級版本。但隨著鏈上被盜資金持續異動，這場「聖誕劫」的影響顯然尚未落幕。

無論是 Slope 的明文日誌，或 Trust Wallet 的惡意後門，歷史總是驚人地重演。這再度提醒每位加密用戶，切勿盲目信任任何單一軟體終端。定期檢查授權、分散資產存放、對異常版本更新保持警覺，或許才是穿越加密黑暗森林的真正生存法則。

聲明：

1. 本文轉載自 [Foresight News]，著作權歸原作者 [ChandlerZ] 所有，如對轉載有任何異議，請聯繫 Gate Learn 團隊，團隊將依相關流程儘速處理。
2. 免責聲明：本文所述觀點與意見僅屬作者個人立場，不構成任何投資建議。
3. 本文章其他語言版本由 Gate Learn 團隊翻譯，未經提及 Gate，不得複製、傳播或抄襲本翻譯內容。