這個聖誕節不平靜！多名Trust Wallet用戶錢包資金未經授權流出

本應充滿祥和的聖誕節，卻因一場突如其來的安全事件，為加密貨幣社群蒙上了一層陰影。2025年12月25日，區塊鏈調查員ZachXBT報告稱，多名Trust Wallet用戶遭遇未經授權的資金流出。隨後的調查發現，Trust Wallet的Chrome瀏覽器擴充功能2.68版本存在嚴重漏洞，導致包含以太坊、比特幣和Solana在內的多個區塊鏈上的數百個錢包遭到未經授權的資金竊取，損失估計超過600萬美元。這起事件再次敲響了Web3安全的警鐘，提醒所有用戶對基於瀏覽器的加密錢包保持高度警惕。

一、Trust Wallet Chrome擴充功能曝嚴重漏洞，數百萬美元被竊

區塊鏈調查員ZachXBT於12月25日報告稱，在過去幾個小時內，多名Trust Wallet用戶遭遇了未經授權的資金流出。

• 漏洞確認： Trust Wallet隨後確認其Chrome瀏覽器擴充功能2.68版本存在漏洞。

• 駭客手法： 最近一次更新中的可疑程式碼偽裝成分析工具，竊取錢包資料，影響用戶匯入助記詞或進行其他操作。

• 被竊資產： 包含以太坊、比特幣和Solana在內的多個區塊鏈上的數百個錢包遭到未經授權的資金竊取。

• 損失估計： 損失估計超過600萬美元。

• 安全警示： Trust Wallet敦促用戶停用該版本並更新至2.69版本。

二、事件背景與Chrome擴充功能的潛在風險

此次事件發生在Trust Wallet的Chrome擴充功能最近一次更新之後，引發對基於瀏覽器的加密錢包安全性的廣泛關注。

• 高權限： Chrome擴充功能擁有更高的權限。資安研究人員多次警告，一次惡意更新或一個被竄改的依賴項都可能使用戶面臨重大風險。

• 虛假擴充功能： 近幾個月來，已經出現了幾起廣受關注與錢包擴充功能相關的威脅事件。資安公司先前指出，一些虛假錢包擴充功能旨在竊取助記詞，攻擊者可利用這些程序完全重建錢包，並於後續竊取資金。

• 惡意交易“助手”： 其他情況下，惡意交易“助手”擴充功能會悄悄修改交易指令，每次用戶批准兌換時都會竊取少量加密貨幣。

• 注入腳本： 更廣泛來說，網路安全研究人員紀錄了一些攻擊活動，這些活動涉及看似合法的瀏覽器擴充功能，這些擴充功能後來被更新，用以注入腳本、重新導向流量或蒐集敏感資料。雖然這些功能未必都專門針對加密貨幣，但可以被用於錢包會話、登入流程或交易核准。

三、用戶緊急自救措施與Trust Wallet的回應

事件發生後，用戶被敦促採取緊急措施保護資產，Trust Wallet也確認正在展開調查。

• ZachXBT的警報： ZachXBT在報告中指出，受影響用戶稱，他們錢包地址中的資產未經授權即遭竊取。ZachXBT已開始收集與疑似竊盜案相關的錢包地址，並要求受影響用戶在調查持續進行期間主動聯絡警方。

• 建議用戶操作： 用戶被敦促檢視最近的交易紀錄，撤銷不必要的權限，並於情況更明朗前避免簽署新交易。如懷疑資金已被盜用，則建議將剩餘資金轉移至使用新助記詞建立的新錢包。

• Trust Wallet的回應： Trust Wallet正在調查一起涉及yETH LST穩定幣池的事件，但強調Yearn Vaults（包括V2和V3）不受影響。同時，該公司正透過客服聯繫受害者。

四、Web3安全警鐘再度響起：錢包安全與用戶操作

Trust Wallet本次安全事件再次敲響Web3安全的警鐘，提醒所有用戶對錢包安全性及操作規範保持高度警覺。

• 多網路錢包的脆弱性： 此次當機凸顯了多網路錢包資金的脆弱性。

• 託管與非託管模式的混淆： 受害者誤以為自己使用的是冷錢包，但實際上是熱錢包。這種誤解經常導致大規模竊盜。專家呼籲這些產品的廠商說明這些區別。

• 專業協助的缺失： 受害者表示，很難讓美國執法單位跟上腳步。目前很少有法律機構具備處理如此複雜加密貨幣案件的資格。

• 追查困難： 惡意更新或一個被竄改的依賴項都可能使用戶面臨重大風險。

• 個人安全至關重要： 本事件再次強調了個人資安防護的重要性。

結語：

Trust Wallet Chrome擴充功能曝嚴重漏洞，導致數百萬美元加密資產被竊，讓這個聖誕節變得不平靜。這起事件再次凸顯了基於瀏覽器的加密錢包潛在之安全風險，以及Web3資安防護的重要性。在加密貨幣日益普及的當下，所有用戶務必提高警覺，謹慎選擇錢包類型，仔細查核交易紀錄，及時更新軟體，並警惕任何可疑的更新或連結，才能最大程度保障自己的數位資產安全。

相關推薦閱讀：加密貨幣邁向2026年，隱私和去中心化身份成為焦點