Trust Wallet 啟動賠償流程，承擔用戶錢包 700 萬美元全部損失

Trust Wallet 啟動針對 Chrome 瀏覽器擴充功能 v2.68 版本安全事件受害者的賠償流程，此次駭客攻擊導致數百個錢包損失約 700 萬美元數位資產。幣安創辦人 CZ 確認，公司將承擔所有受影響用戶的全部損失，受害者可透過官方入口網站提交索賠申請。

Trust Wallet API 金鑰外洩引發供應鏈攻擊

Trust Wallet CEO Eowyn Chen 在事後調查中揭露了攻擊的核心手法。駭客取得了 Trust Wallet 的 Chrome 網上應用程式商店 API 金鑰，這個關鍵憑證原本僅供內部團隊發布更新使用。攻擊者利用這把「萬能鑰匙」，於 UTC 時間 12 月 24 日下午 12:32 繞過 Trust Wallet 的標準內部發布流程，直接在 Chrome 商店推送了被篡改的 v2.68 版本。

這種攻擊手法在資安領域被稱為「供應鏈攻擊」，攻擊者不直接攻擊用戶，而是滲透軟體供應商的發布管道，將惡意程式碼偽裝成官方更新推送給所有用戶。由於更新來自官方商店且簽署憑證有效，用戶和瀏覽器都無法識別其惡意性質。Trust Wallet 擁有約一百萬 Chrome 擴充功能用戶，這種攻擊方式的潛在影響面極為廣泛。

區塊鏈安全公司 SlowMist 在技術分析中指出，惡意程式碼利用了修改後的開源分析庫。攻擊者精心設計的程式碼會在用戶登入擴充功能時，靜默擷取錢包助記詞並回傳至駭客控制的伺服器。助記詞是控制加密貨幣錢包的最高權限憑證，一旦外洩，攻擊者可以完全掌控受害者的所有資產。Chen 表示，在 12 月 26 日上午 11 點（UTC 時間）之前登入該擴充功能的用戶可能已受影響。

Trust Wallet 於聖誕節當天收到鏈上調查員 ZachXBT 在 Telegram 上發布的警報後，立即啟動緊急應變程序。團隊於 12 月 25 日發布 v2.69 版本修復漏洞，並從 Chrome 商店移除惡意版本。然而，在惡意版本上線期間登入的用戶，其助記詞可能已經外洩，即使後續更新也無法挽回損失。

700 萬美元失竊資金流向追蹤

區塊鏈安全公司 PeckShield 透過鏈上分析追蹤了被盜資金的流向。約 700 萬美元的數位資產在多個區塊鏈上被盜，包括比特幣、以太坊和 Solana 等主流鏈。攻擊者採取了快速變現策略，超過 400 萬美元的被盜資金已透過 ChangeNOW、FixedFloat 和 KuCoin 等中心化交易所轉移。截至週四，約有 280 萬美元仍留在攻擊者的錢包中。

這種資金流向模式顯示攻擊者具備專業的洗錢能力。ChangeNOW 和 FixedFloat 是無需 KYC 的即時交易所，常被用於混淆資金來源。將部分資金轉入 KuCoin 等大型交易所則可能是為了進一步分散或套現。鏈上追蹤雖然透明，但一旦資金進入中心化交易所或混幣器，追回難度將大幅提升。

值得注意的是，攻擊發生時間選在聖誕節前夕，這是典型的駭客策略。節假日期間，企業安全團隊人力減少，響應速度降低，給攻擊者爭取了更多時間轉移資產。Trust Wallet 僅用了約 24 小時就發布修復版本，但攻擊者已經有足夠時間完成第一波資金轉移。

目前僅 Trust Wallet 的 Chrome 擴充功能受到影響，行動應用程式（iOS 和 Android）以及其他瀏覽器版本（如 Firefox、Edge）的用戶未受此次事件波及。這是因為不同平台使用獨立的發布管道和 API 金鑰，攻擊者僅取得了 Chrome 商店的發布權限。

官方賠償流程與詐騙警示

Trust Wallet 在官方入口網站上線了正式的賠償申請表單，受影響用戶需提供以下資訊完成索賠：

索賠申請必要資訊

· 基本身份資料：電子郵件地址與居住國家/地區，用於身份驗證和後續聯繫

· 受害錢包證明：被盜錢包地址與攻擊者的收款地址，需提供完整的鏈上地址格式

· 交易證據：相關的交易哈希值（Transaction Hash），作為資金被盜的鏈上證據

Trust Wallet 團隊表示：「我們正在日以繼夜地工作，以最終確定賠償流程的細節，每個案例都需要仔細核實，以確保準確性和安全性。」這種審核機制旨在防止虛假索賠，但也意味著賠償發放需要一定時間。幣安創辦人 CZ 在 X 上明確承諾：「Trust Wallet 將承擔全部損失」，並強調用戶資金「安全無虞」。幣安於 2018 年收購 Trust Wallet，此次承諾展現了母公司對品牌信譽的維護決心。

Trust Wallet 特別提醒用戶警惕事件發生後出現的虛假賠償表格和身分冒用詐騙。駭客和詐騙分子往往利用安全事件製造二次傷害，透過假冒官方表單竊取更多個人資訊或助記詞。用戶應僅透過 Trust Wallet 官方網站或經過驗證的官方社群渠道提交索賠申請，切勿點擊來源不明的連結或向任何人透露助記詞。

此次事件凸顯了中心化發布管道的系統性風險。即使是去中心化錢包，其軟體更新機制仍依賴 Google、Apple 等中心化平台。API 金鑰管理不善可能導致整個用戶群體暴露於風險之中。Trust Wallet 需要全面檢視金鑰儲存機制，採用硬體安全模組（HSM）或多簽授權等更高安全等級的保護措施。對於用戶而言，定期備份助記詞、使用硬體錢包儲存大額資產、關注官方安全公告，都是降低類似風險的有效手段。