幣圈「聖誕驚魂夜」！Trust Wallet 驚傳逾 700 萬美元資產遭洗劫，CZ表示官方將賠付相關損失

2025 年聖誕節前夕，虛擬貨幣市場驚傳重大安全事故。知名去中心化錢包 Trust Wallet 的 Chrome 瀏覽器擴充功能（Browser Extension）遭駭客植入惡意程式碼，導致全球數百名用戶的錢包在聖誕假期期間遭「自動搬空」。據鏈上數據與多家資安機構初步估計，累計損失金額已突破 600 萬美元（約 1.9 億新台幣），且受害者人數持續攀升。

聖誕劫：2.68 版本成駭客入侵後門

本次事件起源於 Trust Wallet 於 12 月 24 日發布的 2.68.0 正式版本。資安專家指出，這是一起極為專業的「供應鏈攻擊」。駭客疑似取得開發者權限或透過 API 密鑰洩漏，成功在官方版本中植入一段名為 4482.js 的惡意腳本。

根據慢霧（SlowMist）與鏈上偵探 ZachXBT 的分析，這段代碼精準地偽裝成合法的數據分析庫（PostHog），當用戶開啟錢包或輸入助記詞（Mnemonic Phrase）時，腳本會自動攔截敏感資訊，並將其加密傳送至駭客控制的偽造伺服器 metrics-trustwallet.com.

損失規模與資金去向

根據 PeckShield 與 SlowMist 的監控顯示，駭客洗劫資金的速度極快，涉及 Bitcoin (BTC)、Ethereum (ETH) 及 Solana (SOL) 等多條公鏈。

統計項目	詳細資訊
受影響版本	Trust Wallet Chrome 瀏覽器擴充功能 v2.68.0
估計損失金額	600 萬至 700 萬美元 (持續更新中)
受影響範圍	僅限 Chrome 擴充功能用戶（手機 App 用戶安全無虞）
駭客洗錢管道	ChangeNOW、FixedFloat、KuCoin 等中心化平台

官方回應：CZ 承諾 SAFU 基金全額賠償

面對排山倒海的社群壓力，幣安（Binance）創辦人 CZ（趙長鵬） 與 Trust Wallet 執行長 Eowyn Chen 隨即發表聲明安撫用戶。CZ 在社群平台 X 上明確表示，對於此次因官方版本漏洞導致的用戶損失，將動用 SAFU（用戶安全資產基金） 進行全額賠償。

目前 Trust Wallet 已緊急下架受污染版本，並發布 2.69.0 安全修補版本。官方強烈呼籲所有用戶：「若您在 12 月 24 日至 26 日期間曾使用過 Chrome 擴充功能，請視助記詞已洩漏，務必立即轉移資產至全新的錢包地址。」

用戶緊急應對措施

1. 立即停用： 關閉 Chrome 瀏覽器中的 Trust Wallet 插件。
2. 升級版本： 僅透過官網連結更新至最新 2.69.0 版本。
3. 棄用舊錢包： 由於助記詞已被駭客獲取，單純更改密碼無效，必須創建新錢包並遷移剩餘資產。
4. 斷網處理： 在進行助記詞導出備份時，建議在斷網（Air-gapped）環境下操作以策安全。

此次事件再度敲響了「瀏覽器錢包」安全性的警鐘，專家建議大額資產應存放於硬體錢包（Cold Wallet），避免將瀏覽器插件作為主要的儲存工具。