Trust Wallet Chrome 資料外洩：惡意腳本如何攻擊用戶的私鑰

去年12月，Trust Wallet確認了一起與版本2.68的Chrome瀏覽器擴展感染有關的安全事件。惡意腳本內嵌在套件中，能夠攔截用戶的敏感資料，包括種子短語和私鑰。公司於12月25日立即發布了版本2.69，但損失已經發生。根據目前的估計，受害用戶已經損失了從6百萬到超過7百萬美元，分佈在多個區塊鏈上。

攻擊過程 – JavaScript中的隱藏代碼

分析受感染的2.68版本套件的專家發現，JavaScript文件中包含可疑的邏輯，特別是在標記為「4482.js」的文件中。研究人員指出，這段代碼被設計用來自動將錢包的秘密資訊傳送到外部伺服器。該腳本在背景中運行，未經用戶知情，並在用戶輸入或導入種子短語到擴展時激活。

該錢包擴展位於Web應用與簽名交易流程的關鍵點之間。這意味著在此層級的任何妥協都可能導致存取用戶用來驗證操作的相同輸入資料。惡意腳本正是利用了這一安全漏洞。

受威脅的對象 – 受害者範圍估算

Chrome Web Store顯示，Trust Wallet擴展已被約100萬用戶安裝。然而，實際事件的範圍較小——其規模取決於實際安裝了版本2.68並在運行時輸入敏感資料的人數。

最大風險對象包括：

• 安裝了感染版本2.68的用戶
• 在此期間輸入或導入了種子短語
• 通過此擴展確認交易的用戶

行動裝置用戶及其他版本的擴展未受到此問題影響，範圍因此縮小。

現在應該做什麼 – 每位用戶的保護步驟

僅更新到2.69版本是不夠的。雖然新版本已移除惡意代碼並防止未來攻擊，但若種子短語已經洩露，資產並不自動受到保護。

為了保障安全，請執行以下步驟：

1. 檢查是否受影響：

• 是否安裝了版本2.68？
• 在使用期間是否輸入或導入了種子短語？

2. 如果答案是「是」：

• 將現有的種子短語視為已洩露
• 將所有資產轉移到用新種子短語建立的新錢包
• 在可能的情況下撤回所有代幣授權

3. 更新擴展：

• 立即停用版本2.68
• 從Chrome Web Store安裝版本2.69
• 確認應用程式來自官方來源

4. 其他安全措施：

• 與洩露的種子短語有接觸的系統一律視為潛在受威脅
• 不要回覆假冒Trust Wallet團隊的私訊
• 避免點擊「fix」域名的複製網站——詐騙者大量散布假冒修復網站

資金轉移可能涉及操作成本——尤其是當你在多個區塊鏈上持有資產時。Gas費用和跨鏈橋的風險可能很高，但安全性應該是首要考量。

市場反應謹慎 – TWT當前價格

Trust Wallet Token (TWT)對事件反應相對穩定。目前價格約為0.88美元，24小時內下跌2.19%。過去24小時最高價為0.90美元，最低為0.86美元。

市場未出現劇烈波動，顯示投資者正等待公司進一步公告資金返還和事件詳情。

損失估算 – 未來幾週的情況

初步估計損失總額為6到7百萬美元。但由於以下原因，數字可能會變化：

• 受害者的報案延遲
• on-chain地址的重新分類
• 跨鏈支付的可見性提升
• 其他攻擊向量的發現

預測未來2到8週的情景：

事件後的啟示 – 行業教訓

此事件揭示了瀏覽器擴展安全模型的結構性弱點。學術研究顯示，惡意或被破壞的擴展能夠繞過Chrome Web Store的自動控制。所謂的「概念漂移」現象，意味著攻擊者採用的策略不斷變化，削弱了靜態防禦方法的效果。

行業目前呼籲：

• 重複的源碼編譯
• 密鑰分割簽名
• 更明確的緊急撤回流程
• 更高的透明度和事後報告

Trust Wallet已承諾將提供詳細的資金返還指引，首要步驟是確認有多少用戶受到威脅、惡意腳本洩露了哪些敏感資料，以及資金流向的實際路徑。

最終建議

Trust Wallet強烈重申：

• 立即停用版本2.68
• 從官方Chrome Web Store更新至版本2.69
• 如果在版本2.68輸入了種子短語，請轉移所有資產
• 不要相信非官方渠道的訊息

此次惡意腳本事件提醒我們，沒有任何系統——不論其聲譽多高——是百分之百安全的。用戶教育與風險意識，才是當前抵禦此類攻擊的最佳防線。