Trust Wallet 開始對 $7 百萬瀏覽器擴展程式駭客事件的受害者進行賠償

來源：CryptoTicker 原標題：Trust Wallet 開始對 $7 百萬瀏覽器擴展漏洞受害者進行賠償 原鏈接：https://cryptoticker.io/en/trust-wallet-begins-compensation-for-victims-of-dollar7-million-browser-extension-hack/ 當一個錢包提供商聲稱自我托管時，用戶期望軟體層面是絕對安全的。本週，這種信任受到打擊，因為 Trust Wallet 確認其 Chrome 瀏覽器擴展的惡意更新導致約 $7 百萬數位資產被盜。現在，該公司表示正迅速行動，讓受影響的用戶獲得補償。

在發現漏洞兩天後，Trust Wallet 宣布已啟動正式的賠償流程，針對受影響的 Chrome 擴展版本 2.68 的受害者。

賠償流程如何運作

Trust Wallet 已開設官方索賠門戶，讓受影響的用戶可以提交與攻擊相關的詳細資料。表格要求提供基本身份資訊，如電子郵件地址和所在國家，以及技術證據，包括被攻擊的錢包地址、攻擊者接收地址和交易哈希。

公司表示，每份提交都將進行個別審核。根據 Trust Wallet 的說法，這一驗證步驟對於防止錯誤、虛假索賠或進一步濫用情況至關重要。

在公開聲明中，公司表示正日夜工作，以完成賠償並確保準確性，同時在整個過程中保持安全。

被盜資金及資金流向

此次漏洞導致多條區塊鏈的資金損失，包括比特幣、以太坊和索拉納。區塊鏈安全公司 PeckShield 預估，已經有超過 $4 百萬的被盜資金經由 ChangeNOW、FixedFloat 及一些主要平台轉出。

根據最新的鏈上數據，約有 280 萬美元仍在由攻擊者控制的錢包中。

損失已獲確認賠付

為用戶提供保障，一位知名交易所的創始人在公開場合證實，所有經過驗證的損失都將獲得賠付。在公開聲明中確認，約有 $7 百萬受到影響，Trust Wallet 將全額賠償用戶，並強調用戶資金仍然安全。

攻擊是如何發生的

此事件首次曝光是在鏈上調查員 ZachXBT 警告多位 Trust Wallet 用戶在安裝 12 月 24 日的更新後，餘額被清空不久後。

Trust Wallet 的內部調查顯示，一個泄露的 Chrome Web Store API 密鑰被用來在 12 月 24 日 UTC 時間 12:32 發布惡意擴展更新，讓攻擊者得以繞過公司內部的發布控制。

安全公司 SlowMist 後來確認了惡意程式碼，該程式碼利用修改過的開源分析庫來竊取錢包的種子短語。一旦被攻破，攻擊者可以迅速轉移資金，無需用戶進一步操作。

受影響與未受影響的用戶

只有運行版本 2.68 的 Chrome 擴展用戶受到影響。Trust Wallet 在 12 月 25 日推出了修補版本 2.69。根據 CEO Eowyn Chen 的說法，12 月 26 日 UTC 時間上午 11 點前登入擴展的用戶可能已暴露。

手機應用用戶及使用其他瀏覽器版本的擴展則未受到影響。根據其 Web Store 的列表，Chrome 擴展的用戶接近一百萬。

警惕假冒賠償詐騙

Trust Wallet 也提醒用戶保持警覺。在漏洞曝光後，假冒賠償表單和冒充詐騙已開始流傳。公司強調，索賠僅能通過其官方支援門戶提交，並警告用戶切勿在任何情況下分享恢復短語或私鑰。

未來的展望

此事件提醒我們，即使是知名的錢包提供商，也仍然面臨供應鏈風險，尤其是通過瀏覽器擴展。雖然 Trust Wallet 決定全額賠償用戶，有助於恢復信心，但這次漏洞凸顯出一個泄露的憑證就可能引發數百萬的損失。

對用戶來說，教訓雖然簡單但令人不舒服：更新很重要，驗證很重要，瀏覽器擴展仍是加密生態系統中最脆弱的目標之一。