在最近的聖誕節假期期間,廣泛使用的非托管錢包 Trust Wallet 確認了一起嚴重的供應鏈攻擊。官方報告已證實,此次安全漏洞導致約 700萬美元 在損失中,直接影響 2,596 錢包 地址。
儘管事件非常嚴重,Trust Wallet管理層和幣安聯合創始人趙長鵬(CZ)已作出明確承諾: Trust Wallet 將賠償所有已驗證的損失確保用戶資金始終「SAFU。」
-
事件分析:700萬美元漏洞是如何發生的
此次漏洞的根本原因已被追查至 Trust Wallet Chrome 瀏覽器擴展程式版本 2.68。
-
攻擊向量: 攻擊者成功入侵分發渠道,可能透過外洩的 Chrome 網路商店 API 金鑰,推送惡意更新。
-
技術細節: SlowMist等安全公司發現,攻擊者在擴展功能的程式碼中植入了後門。這惡意腳本針對助記詞和私鑰,並利用合法的posthog-js分析程式庫作為掩護,將敏感資料外洩到攻擊者控制的伺服器。
-
影響範圍: 此次漏洞具有高度特定性,僅影響使用或登入桌面用戶的用戶 v2.68 延長至 2025 年 12 月 24 日至 12 月 26 日行動應用程式用戶及其他瀏覽器版本的用戶沒有受到影響。
-
Trust Wallet賠償方案:處理2,596宗合法索償
Trust Wallet 首席执行長陳柔伊最近對賠償時間表進行了更新。雖然 2,596個受影響錢包地址 已確認,團隊已經收到近5,000宗索償,其中很多似乎是重複的,或試圖利用退款程序的欺詐行為。
受影響用戶申領退款指南:
-
驗證階段: 團隊目前正在進行鏈上調查,以驗證針對已識別的被入侵地址列表的所有聲稱。
-
提交入口: 受害者被指示使用官方的 Trust錢包支援表單 提交他們的資料。
-
所需資料: 您需要提供您的聯繫電子郵件、被入侵的錢包位址、攻擊者的目標位址,以及未經授權轉帳的特定交易雜湊(TXIDs)。
-
Trust Wallet 用戶的必要安全措施
鑒於最近的安全漏洞,所有用戶應立即採取措施保護其數字資產:
-
立即更新: 請確保您的外掛程式已更新至 v2.69 或更高版本。應立即停用並移除 2.68 版。
-
遷移資金: 安全專家建議,任何與受影響的 v2.68 版本互動的人都應該創建一個全新的錢包地址(並使用新的恢復短語),並將任何剩餘資金移動到該地址。
-
提高警覺,防止詐騙: 請提防假冒的「賠償」網站或 Telegram 帳號。Trust Wallet 絕不會要求您提供恢復短語或私鑰來處理退款。
-
產業影響:非托管錢包的韌性
這起事件凸顯了非托管工具分發中的一個關鍵漏洞。雖然錢包本身是去中心化的,但「供應鏈」(如 Chrome 網站商店)仍然是集中化的故障點。然而,Trust Wallet 的快速回應和全額賠償承諾已為平台責任設立了新的行業標準。
隨著我們邁入一個更加受監管的時代,供應商提供相關服務的能力 全面賠償承諾 在發生重大漏洞後,可能成為維持用戶信任和長期採用的關鍵因素。
摘要:
Trust Wallet 對 2,596 個受影響錢包的主動處理方式,已大幅平息了社群的擔憂。透過識別 Trust Wallet 瀏覽器擴充功能安全性中的確切漏洞,並提供明確的恢復途徑,該平台正努力恢復其作為 Web3 主要入口的聲譽。