Trust Wallet 擴展漏洞：$4.3M 消失，Chrome 更新出錯

一場關鍵的安全事件在12月底推出Chrome擴展版本2.68.0後，襲擊了Trust Wallet用戶。在更新部署的數小時內，多個帳戶的資金迅速被抽走，涉及比特幣、以太坊和BNB等主要加密貨幣。此次漏洞凸顯了基於瀏覽器的錢包解決方案的脆弱性，也引發了對錢包更新背後安全協議的嚴肅質疑。

資金快速被抽走

鏈上調查員ZachXBT記錄了似乎是協調攻擊的後續情況。當用戶將助記詞導入更新後的擴展時，錢包餘額立即暴跌。與通常的逐步抽資不同，這些轉帳沒有階段或時間延遲。相反，攻擊者迅速將被盜資產通過多個接收地址轉移，形成一個複雜的路由模式，將多個受損錢包連結在一起。

攻擊面顯著廣泛。比特幣、以太坊和BNB持有者都報告了損失，區塊鏈數據顯示在多起報告中存在一致的交易結構。利用窗口似乎集中在擴展發布後的幾個小時內，暗示攻擊者要么預料到漏洞，要么在發現漏洞後精確把握時機行動。

鏈上跡象指向430萬美元影響

區塊鏈分析顯示，受影響錢包中有超過430萬美元的資產流出。這一數字來自ARKHAM追蹤的公開可見鏈上轉帳，代表根據報告的帳戶被攻破的最低損失。隨著更多受影響用戶站出來，實際損失範圍可能更大。

ZachXBT的調查鎖定了幾個作為被盜資金收集點的錢包地址：

• 0x3b09A3c9aDD7D0262e6E9724D7e823Cd767a0c74
• 0x463452C356322D463B84891eBDa33DAED274cB40
• 0xa42297ff42a3b65091967945131cd1db962afae4

這些地址接收了來自數十個受損錢包的轉帳，顯示出要么是惡意駭客的機會主義行為，要么是利用漏洞進行系統性盜竊的更有組織的行動。

Trust Wallet的沉默與疑問

截至本報導發布，Trust Wallet尚未發表任何正式聲明承認此次漏洞或回應受影響用戶。公司既未確認Chrome擴展更新是否為直接原因，也未提供任何緩解策略。也沒有公布任何恢復指南或修復措施。

缺乏透明度引發了對開發者是否充分理解版本2.68.0引入風險的疑慮。時間線仍集中在12月24日，即問題更新上線的那天，然而平台尚未解釋導致資金被抽走的具體技術漏洞。

對於持有Trust Wallet或類似瀏覽器擴展資產的用戶來說，此事件強調了在重大更新前後審查安全措施的重要性。