## Trust Wallet 擴展在 Chrome 上遭受攻擊：超過 700 萬美元處於危險之中，惡意程式碼造成威脅

在 12 月 25 日，Trust Wallet 發布了其 Chrome 瀏覽器擴展的版本 2.69，以應對嚴重的安全威脅。此次事件涉及前一版本 2.68，該版本於前一天被散布。調查顯示，受感染版本的程式碼中隱藏的腳本有能力竊取用戶敏感資料。根據初步估計，詐騙者在問題版本發布後的前 48 至 72 小時內，在不同的區塊鏈上造成了約 600 萬到 700 萬美元的損失。

## 災難的起因：用 seed 片語強化威脅場景

追蹤事件的專家特別擔心那些直接在受感染擴展中輸入 seed 片語的用戶。seed 片語是存取現有及未來錢包和地址的關鍵。安全專家發現一個名為「4482.js」的 JavaScript 檔案中存在可疑邏輯，很可能將錢包的秘密資訊傳送到由攻擊者控制的外部伺服器。

學術研究指出，惡意擴展很容易避開 Chrome Web Store 的自動檢測系統。這尤其危險，當更新速度快且少數用戶在安裝前會檢查程式碼細節時。

## 二次攻擊浪潮：模仿官方域名的「修復」陷阱

除了原始威脅外，安全團隊警告存在假冒「修復」的惡意域名。詐騙者試圖誘使受害者透露 seed 片語，假裝是為了恢復錢包存取權。這種策略為不知情的用戶提供了額外的攻擊途徑，尋求快速解決方案。

## 如何防範：更新與實際保護的差異

從 2.68 版升級到 2.69 版可以移除惡意程式碼，但不會自動保護已經洩露的資產。如果用戶在受感染版本中導入了 seed 片語或關鍵資料，必須迅速行動：

- 從安全設備生成新的 seed 片語
- 將所有資金轉移到用新 seed 片語建立的新地址
- 取消所有已批准的 (代幣（如有必要)）
- 將曾經存取舊 seed 片語的系統視為潛在受威脅

這些步驟可能涉及高昂的操作成本，尤其是網路手續費和跨鏈轉移的風險。用戶必須決定，重建資產的成本是否值得面對潛在的威脅。

## 市場狀況與 TWT 價值：無劇烈變動的回應

Trust Wallet Token (TWT) 價格約為 0.83487 美元，較前一交易日微漲 0.02%。日內最高為 0.8483 美元，最低為 0.767355 美元。儘管事件嚴重，市場尚未出現單向的恐慌性拋售，但情況仍在持續發展中。

## 未解之謎：損失擴大的速度有多快？

損失總額可能會因例行性因素而變動：受害者的延遲報案、資產重新分類、更佳的跨鏈交易追蹤與提款路徑。在 2 至 8 週內，損失可能在 600 萬到超過 2500 萬美元之間，取決於是否出現額外的攻擊向量，以及詐騙陷阱被何時清除。

## 未來的需求：將軟體分發整合到加密安全模型中

此次事件將焦點放在瀏覽器擴展的安全模型上。錢包擴展在網頁應用與簽名流程之間的關鍵點運作——任何妥協都可能影響用戶用於驗證交易的輸入資料。

供應商應發布事後報告，內容包括：
- 具體的根本原因分析
- 已驗證的 (域名、雜湊值、套件識別碼)
- 明確的威脅範圍說明

沒有這些資訊，交易所安全團隊與研究人員將難以判斷不同的帳戶是否來自同一基礎設施，或是獨立事件。

## 現在的行動：Trust Wallet 承諾的賠償措施

Trust Wallet 確認約有 700 萬美元受到此次事件影響，並承諾向所有受害者返還資金。公司已宣布啟動退款流程，並「很快」提供詳細的後續指引。

關鍵建議仍然簡單：停用 2.68 版，升級到 2.69 版；若用戶曾輸入 seed 片語，則應視其為完全洩露。Trust Wallet 也提醒，勿與非官方渠道的訊息互動，因為詐騙者可能在修復階段假扮官方團隊。