Trust Wallet瀏覽器擴展功能的重大安全問題導致600萬美元的損失

Trust Wallet的瀏覽器擴展功能發現嚴重漏洞，導致多位用戶在未預期的情況下損失虛擬資產。損失金額超過600萬美元，該公司已立即展開緊急應對。

問題發現到應對的經過

鏈上調查員ZachXBT在Telegram上指出異常情況後，這次的安全問題才被公開認知。他的警告中報告了多位Trust Wallet用戶資金迅速流失的情況。隨後的調查顯示，特定版本的Chrome擴展功能存在漏洞。

Trust Wallet的調查團隊確認，版本2.68的擴展是問題的根源。另一方面，手機應用的用戶及使用其他版本的用戶則仍處於安全狀態。

損失規模與攻擊手法的實情

根據ZachXBT的詳細調查，攻擊者估計已盜取超過600萬美元的資產。受影響的用戶數以百計。黑客利用閃電貸（flash loan）手法轉移被盜資產，並且有超過400萬美元被集中交易所收取。

此漏洞使攻擊者能直接存取用戶資產，導致非法資金外流。瀏覽器擴展功能成為最危險的攻擊領域。

用戶立即應採取的措施

Trust Wallet為防止損失擴大，發布了以下安全建議。

首先，最優先的措施是立即將擴展功能升級至版本2.69，該版本包含最新的安全修補。

其次，建議將持有的虛擬資產轉移至手機應用。手機應用具備生物認證功能，安全性較高，較瀏覽器擴展更安全。

此外，定期檢查錢包交易記錄也很重要。若能早期發現異常活動，能在一定程度上控制損失。

賠償前景與過去的先例

值得注意的是，2022年11月，Trust Wallet曾遭遇安全侵害。當時由於WebAssembly漏洞，損失約17萬美元，但公司已對所有受影響用戶進行了賠償。

然而，這次的損失規模遠大於前次，截至2025年12月，官方尚未公布任何賠償計畫。受害者正等待公司明確的溝通。由於損失巨大，賠償決策可能需要較長時間。

對整個產業的警示信息

這次事件再次凸顯了及時安全更新的重要性，也揭示了攻擊手法日益高明的事實。

用戶應該實踐的措施包括：定期軟體更新、資產分散管理，以及持續監控交易。尤其是使用瀏覽器錢包時，這些警覺心不可或缺。

這一系列事件將促使行業重新討論托管（custodial）風險。安全標準的重新檢討與強化，已成為未來產業發展的必然趨勢。