Chrome 擴充套件 Trust Wallet：隱藏腳本收集私鑰，損失高達 700 萬美元

嚴重安全漏洞：版本2.68曝光用戶seed phrase

在2025年12月24-25日，Trust Wallet發佈緊急警告，要求Chrome用戶停止使用擴展程式的2.68版本。公司已發現一個在執行程式碼過程中的安全漏洞，導致用戶的seed phrase和私鑰被未經授權收集。初步報告顯示，在前48-72小時內，涉及多個區塊鏈的損失約為6-7百萬美元。

Chrome Web Store上的Trust Wallet擴展目前約有100萬用戶安裝。實際影響程度取決於有多少人已升級至2.68版本並在漏洞期間輸入敏感資訊。Trust Wallet強調，行動版和其他平台未受影響。

攻擊機制：惡意JavaScript收集錢包秘密

安全研究人員發現版本2.68安裝包中存在可疑邏輯。具體來說，一個包含“4482.js”參考的JavaScript檔案中，分析人員發現該段程式碼有能力將seed phrase和私鑰傳送到外部伺服器。

Seed phrase是一串詞語，能解鎖由其生成的所有當前和未來地址。這意味著，如果seed phrase洩露，所有錢包和資產在不同鏈上的資金都可能被清空。檢查團隊已確定，安裝後輸入或恢復seed phrase的人風險最高。

必要行動：僅更新不足，需轉移資產

升級到2.69版本可以未來移除惡意程式碼，但這不會自動保護已被入侵的資產。

如果你在使用2.68時輸入或恢復了seed phrase，應視該seed已被洩露。標準修復步驟包括：

• 完全創建一個新的seed phrase
• 將所有資產轉移到由新seed生成的新錢包
• 如有可能，撤銷在智能合約上的token approvals(token approvals)

這些操作可能因跨鏈轉移而耗費較高成本。用戶需在速度與gas費用之間權衡，尤其是在涉及跨鏈交易時。

“假救援”詐騙案件增加

事件同時出現二級詐騙手法。騙徒建立假冒“修復故障”域名，誘騙用戶提供seed phrase，假裝是“支援恢復錢包”。

Trust Wallet提醒用戶不要與非官方渠道的訊息互動。攻擊者可能偽裝成Trust Wallet支援團隊，集中攻擊受害者。務必核實任何與seed phrase相關的請求來源。

更廣泛的問題：擴展插件成為錢包安全漏洞

此事件凸顯瀏覽器擴展的基本風險。它們位於Web應用與簽名流程之間的敏感位置，允許干預用戶用來驗證交易的資訊。

學術研究指出，惡意或被入侵的Chrome擴展可能避開自動審查。攻擊策略隨時間變化，偵測能力也會下降。這在錢包更新中特別令人擔憂，因為客戶端程式碼被篡改，使分析更困難。

前例：軟體發行流程的規範

此事件也引發對軟體開發與分發完整性的質疑。長期解決方案可能包括：

• 建立可重現的(reproducible builds)
• 密鑰分離(key separation)
• 更明確的回滾流程

這些措施將幫助供應商和平台建立更完善的檢查與用戶指引。

市場數據：投資者仍“觀望”

儘管事件嚴重，TWT(Trust Wallet Token)的市場反應較為複雜。根據2026年1月12日的最新數據：

• 現價：$0.89
• 24小時變動：+0.13%
• 24小時高點：$0.90
• 24小時低點：$0.86

此波動顯示投資者尚未完全重新評價Token，樂觀跡象可能來自Trust Wallet的賠付承諾或對事件解決的信心。

損失預估：從$6-12百萬到$25 百萬+，2-8週內

可能持續擴大的損失原因包括：

• 受害者遲報
• 地址重新分類
• 改善跨鏈交易追蹤能力

未來2-8週的實際預測範圍可分為以下幾種情境：

取決於：是否僅限於在v2.68輸入seed，是否存在其他攻擊途徑，以及域名假冒的清除速度。

事件時間線

• 12月24日：版本2.68部署；開始出現資金提取報告
• 12月25日：Trust Wallet發布2.69修復版本
• 48-72小時內：總損失約6-7百萬美元

Trust Wallet最後建議

公司已確認約700萬美元受影響，並承諾賠付所有受害用戶。Trust Wallet的指引如下：

1. 立即關閉版本2.68的擴展程式（Chrome）
2. 從Chrome Web Store升級到2.69版本
3. 若在2.68時輸入seed phrase：視為seed已被洩露，創建新seed並轉移資產
4. 不要與非官方訊息互動——騙徒可能偽裝支援團隊
5. 等待官方渠道的賠付指示

此事件提醒用戶，雖然擴展程式方便，但必須謹慎考量相關的安全風險。