Trust Wallet การชดเชยครั้งแรกเสร็จสมบูรณ์แล้ว! การเรียกร้องค่าสินไหมจากช่องโหว่ v2.68 สิ้นสุดวันที่ 14 กุมภาพันธ์
Trust Wallet 完成首批 v2.68 漏洞賠償,已收到 95% 索賠申請,截止日期 2 月 14 日。官方強調受影響錢包已不安全,需立即使用「資產遷移」功能轉移資金。事件影響上百人損失約 600 萬美元,攻擊者透過惡意腳本竊取助記詞。
v2.68 安全漏洞完整事件回顧
Trust Wallet 今年 1 月初發出重大安全警報,證實其瀏覽器擴充功能 2.68 版存在嚴重漏洞,導致用戶資產外流。鏈上偵探 ZachXBT 追蹤顯示,受害者已達上百人,損失金額首次估算約 600 萬美元。官方通告指出,受影響對象為手機版安裝 2.68 版擴充功能的用戶。
攻擊者於打包流程插入名為 4482.js 的檔案,並聲稱用於「Analytics」。它在偵測到使用者輸入助記詞時,將資料傳送至已註冊的網域 metrics-trustwallet.com,再藉自動化腳本於 EVM 相容鏈、Bitcoin 與 Solana 快速提出資產。這種攻擊手法極為隱蔽,因為惡意腳本偽裝成正常的數據分析工具,在官方更新流程中潛入。
Trust Wallet 在公告中強調:「我們已發布 2.69 版修補,請所有瀏覽器擴充用戶立即升級。」如果您也是 Trust Wallet 用戶並已安裝 2.68 版,請切勿匯入助記詞,並最好透過 Chrome 線上應用程式商店的官方連結進行升級。在受污染環境匯入過的助記詞最好視為洩漏,最好創建全新錢包並將餘額遷移。
v2.68 漏洞攻擊手法解析
滲透方式:攻擊者在官方打包流程中插入惡意腳本 4482.js
偽裝策略:聲稱用於 Analytics 數據分析,降低審查疑慮
竊取機制:監聽用戶輸入助記詞動作,即時傳送至駭客控制的網域
資產轉移:自動化腳本在 EVM、Bitcoin、Solana 等多鏈快速提取資產
影響範圍:僅限 2.68 版瀏覽器擴充功能用戶,移動應用未受影響
這種攻擊方式的可怕之處在於它利用了用戶對官方更新的信任。用戶通常認為來自官方渠道的更新是安全的,不會仔細檢查更新內容。攻擊者正是利用這種信任,將惡意代碼混入正常的軟件更新中。
首批賠償完成 95%,資金已申請索賠
1 月 15 日,Trust Wallet 就其瀏覽器擴展程序 2.68 版本中的安全漏洞發布了最新消息:「符合條件的用戶的第一批補償已經完成,剩餘的索賠仍在分批審核和處理中。受瀏覽器擴展程序 2.68 版本事件影響的錢包不應再使用。」
首批賠償的完成標誌著 Trust Wallet 正在兌現對用戶的承諾。然而,「符合條件」這個限定詞暗示並非所有受影響用戶都能獲得賠償。通常,符合條件的標準包括:能夠證明資產確實因 v2.68 漏洞而被盜、損失發生在特定時間窗口內、以及提供了完整的證明材料。部分用戶可能因為無法提供充分證據或損失時間不符而被排除。
目前已收到約 95% 受影響資金的索賠申請。這個高比例顯示 Trust Wallet 的通知工作做得相對到位,絕大多數受影響用戶都已意識到問題並提交了索賠。剩餘 5% 可能是因為用戶未察覺損失、無法提供證明材料、或已放棄索賠。
Trust Wallet 設定索賠提交截止日期為 2026 年 2 月 14 日。這個截止日期距離當前約一個月,為尚未提交索賠的用戶提供了最後機會。截止日期的設定是標準的風險管理措施,使公司能夠明確賠償總額並關閉索賠窗口。用戶應盡快檢查是否受影響並提交索賠,逾期可能無法獲得賠償。
受影響錢包已不安全,資產遷移刻不容緩
官方強調,受影響錢包已不再安全,用戶需立即更新至最新版本並利用新推出的「資產遷移(Migrate assets)」功能轉移資金,廢棄舊錢包。「如果您仍在瀏覽器擴充功能或行動應用程式上使用受影響的錢包,請立即更新至最新版本,將您的資金遷移到新錢包,並停止使用舊的、已被入侵的錢包。」
為何受影響錢包永久不安全?一旦助記詞在受污染的環境中被暴露,就必須假設攻擊者已經掌握了這些信息。即使當前攻擊者已經提取了資產,助記詞可能已經被出售或分享給其他駭客。未來任何時候,只要該錢包中有資產,都可能再次被盜。因此,唯一安全的做法是完全廢棄受污染的錢包,創建全新的錢包並轉移所有資產。
Trust Wallet 新增了「遷移資產」功能,使用戶能夠安全地將受 Trust Wallet 瀏覽器擴充功能 v2.68 安全事件影響的錢包中的資金轉移到安全錢包。這個專門的遷移工具簡化了轉移流程,用戶無需手動發送每個資產,而是可以批量遷移。這種設計考慮到許多用戶可能持有多種代幣,逐一轉移既費時又可能遺漏。
資產安全遷移三步驟
第一步:更新至最新版本:透過 Chrome 線上應用程式商店官方連結升級至 2.69 版或更高
第二步:創建全新錢包:生成新助記詞,切勿在舊設備或受污染環境中創建
第三步:使用遷移功能:透過「資產遷移」工具批量轉移所有代幣,確認完成後永久廢棄舊錢包
官方建議在完全解決問題前,可以先將資產轉移到其他品牌錢包。這個建議顯示 Trust Wallet 對用戶資產安全的重視超過了對自身產品的推廣。暫時使用競爭對手的錢包,等待 Trust Wallet 完全解決安全問題後再回歸,是最審慎的做法。
600 萬美元損失凸顯供應鏈攻擊威脅
目前個別受害者回報損失從數萬到數十萬美元都有,總損失約 600 萬美元。這個數字雖然在大型交易所駭客事件中不算最高,但對於個人錢包用戶而言已是災難性的。更令人憂慮的是,這次攻擊針對的是官方更新渠道,意味著即使是謹慎的用戶也難以防範。
供應鏈攻擊是當前網路安全領域最棘手的威脅之一。與傳統的釣魚攻擊或惡意軟件不同,供應鏈攻擊針對軟件開發和分發過程,在用戶信任的官方渠道中植入惡意代碼。這種攻擊方式極難防範,因為用戶無法區分官方更新和被污染的版本。
Trust Wallet 事件暴露了加密錢包行業在供應鏈安全方面的薄弱環節。軟件打包流程、代碼審查機制、以及更新分發渠道都需要更嚴格的安全措施。對於整個行業而言,這是一次警鐘,提醒所有錢包提供商必須加強開發流程的安全性。
對於用戶而言,這次事件的教訓是:永遠不要在任何環境中輸入助記詞,除非絕對必要。最佳實踐是使用硬體錢包存儲大額資產,軟體錢包僅用於日常小額交易。此外,定期檢查錢包餘額,一旦發現異常立即轉移資產,不要等待官方通知。