Bitcoin(BTC)$78,683.580.27%
Ethereum(ETH)$2,328.000.80%
Tether(USDT)$1.00-0.01%
BNB(BNB)$620.130.31%
XRP(XRP)$1.400.31%
USDC(USDC)$1.000.00%
Solana(SOL)$84.220.14%
TRON(TRX)$0.3389441.78%
Lido Staked Ether(STETH)$2,321.780.68%
Dogecoin(DOGE)$0.108682-0.22%
幣圈「聖誕驚魂夜」!Trust Wallet 驚傳逾 700 萬美元資產遭洗劫,CZ表示官方將賠付相關損失
2025 年聖誕節前夕,虛擬貨幣市場驚傳重大安全事故。知名去中心化錢包 Trust Wallet 的 Chrome 瀏覽器擴充功能(Browser Extension)遭駭客植入惡意程式碼,導致全球數百名用戶的錢包在聖誕假期期間遭「自動搬空」。據鏈上數據與多家資安機構初步估計,累計損失金額已突破 600 萬美元(約 1.9 億新台幣),且受害者人數持續攀升。
聖誕劫:2.68 版本成駭客入侵後門
本次事件起源於 Trust Wallet 於 12 月 24 日發布的 2.68.0 正式版本。資安專家指出,這是一起極為專業的「供應鏈攻擊」。駭客疑似取得開發者權限或透過 API 密鑰洩漏,成功在官方版本中植入一段名為 4482.js 的惡意腳本。
根據慢霧(SlowMist)與鏈上偵探 ZachXBT 的分析,這段代碼精準地偽裝成合法的數據分析庫(PostHog),當用戶開啟錢包或輸入助記詞(Mnemonic Phrase)時,腳本會自動攔截敏感資訊,並將其加密傳送至駭客控制的偽造伺服器 metrics-trustwallet.com.
損失規模與資金去向
根據 PeckShield 與 SlowMist 的監控顯示,駭客洗劫資金的速度極快,涉及 Bitcoin (BTC)、Ethereum (ETH) 及 Solana (SOL) 等多條公鏈。
| 統計項目 | 詳細資訊 |
| 受影響版本 | Trust Wallet Chrome 瀏覽器擴充功能 v2.68.0 |
| 估計損失金額 | 600 萬至 700 萬美元 (持續更新中) |
| 受影響範圍 | 僅限 Chrome 擴充功能用戶(手機 App 用戶安全無虞) |
| 駭客洗錢管道 | ChangeNOW、FixedFloat、KuCoin 等中心化平台 |
官方回應:CZ 承諾 SAFU 基金全額賠償
面對排山倒海的社群壓力,幣安(Binance)創辦人 CZ(趙長鵬) 與 Trust Wallet 執行長 Eowyn Chen 隨即發表聲明安撫用戶。CZ 在社群平台 X 上明確表示,對於此次因官方版本漏洞導致的用戶損失,將動用 SAFU(用戶安全資產基金) 進行全額賠償。
目前 Trust Wallet 已緊急下架受污染版本,並發布 2.69.0 安全修補版本。官方強烈呼籲所有用戶:「若您在 12 月 24 日至 26 日期間曾使用過 Chrome 擴充功能,請視助記詞已洩漏,務必立即轉移資產至全新的錢包地址。」
用戶緊急應對措施
- 立即停用: 關閉 Chrome 瀏覽器中的 Trust Wallet 插件。
- 升級版本: 僅透過官網連結更新至最新 2.69.0 版本。
- 棄用舊錢包: 由於助記詞已被駭客獲取,單純更改密碼無效,必須創建新錢包並遷移剩餘資產。
- 斷網處理: 在進行助記詞導出備份時,建議在斷網(Air-gapped)環境下操作以策安全。
此次事件再度敲響了「瀏覽器錢包」安全性的警鐘,專家建議大額資產應存放於硬體錢包(Cold Wallet),避免將瀏覽器插件作為主要的儲存工具。
