Trust Wallet v2.68 安全漏洞：為何內部存取控制可能才是真正的元兇

一宗$7 百萬美元的安全事件影響了Trust Wallet的Chrome擴展，重新點燃了有關瀏覽器擴展漏洞的討論，新的證據顯示攻擊可能是內部存取被破壞，而非單純的外部駭客入侵。

攻擊的全貌

Trust Wallet於12月26日確認其瀏覽器擴展版本2.68遭到入侵，導致約$7 百萬美元的用戶損失。關鍵的是，公司表示手機錢包用戶和其他擴展版本未受影響——這一細節大大縮小了攻擊面，並暗示這可能是一次有針對性的分發問題，而非根本的協議漏洞。

公司已承諾對受影響的用戶進行全額賠償，並正在敲定補償流程。在此期間，用戶應保持警惕，避免被冒充官方支援渠道的釣魚詐騙所騙。

內部作案還是安全疏失？

業界分析師已聚焦於一個關鍵技術細節：瀏覽器擴展在Chrome Web Store上發布時，需要經過加密簽名金鑰、開發者憑證和多階段審核流程。若惡意版本能夠突破這些控制，可能的入侵途徑包括：

• 機密開發者憑證被竊 (被盜的API金鑰或認證令牌)
• 直接內部存取發布流程 (具有合法部署權限的人員)

這兩種情況都指向操作安全的弱點，而非零日漏洞。調查人員已強調，內部存取理論仍是主要假設，暗示可能是具有合法系統權限的人員促成了此次攻擊。

這一評估尤為重要，因為過去一年類似的高調瀏覽器擴展事件多源於開發者帳號被破壞或發布流程被劫持——形成了一個行業內的共同模式。

TWT市場反應與復甦

Trust Wallet的原生代幣TWT在事件發生後立即出現波動。12月25日的初步報導後，代幣價格大幅下跌，投資者消化事件內容。12月26日，隨著公司宣布損失有限並承諾全額退款，TWT價格穩定並反彈。

截至2026年1月12日，TWT交易價格為$0.89，24小時內下跌-0.85%，反映市場仍存謹慎，但整體已大致消化了短期風險。

行業更廣泛的影響

此事件凸顯一個新興的現實：隨著去中心化錢包越來越依賴瀏覽器擴展，更新機制的安全性和內部風險管理已成為前線關注點。傳統的軟體漏洞已不再是主要威脅——存取控制、憑證管理和治理流程如今成為關鍵的攻防戰場。

Trust Wallet的事件提醒我們，即使是技術上堅固的協議，也可能在人的系統——認證、授權與監督——被破壞時失效。行業或許需要朝去中心化的更新驗證和多簽簽核的方向發展，以有效降低此類攻擊面。