慢霧：Trust Wallet代碼庫疑遭被攻陷，建議用戶斷網轉移資產

Trust Wallet 瀏覽器擴充程式遭供應鏈攻擊，全球用戶損失約 700 萬美元，官方承諾動用 SAFU 基金全額賠償。慢霧科技則表示，原因可能出在「代碼庫」已經被攻陷，用戶應儘速轉移資產。 （前情提要：CZ：Trust Wallet 錢包將賠付用戶資產損失，失竊金額達 700 萬美元 ） （背景補充：專訪 Trust Wallet CISO Eve Lam：錢包信任不靠口號，以獨立審計守護用戶資產 ）   24 日，Trust Wallet 推出的瀏覽器擴充程式 v2.68 被確認內含惡意程式碼，短短兩天內造成用戶合計約 700 萬美元損失（官方統計）。CZ 隨即宣布所有損失將由官方賠付，由於事件性質屬於上架「假版本」攻擊，等同軟體在發布階段已含有漏洞，用戶無論操作是否謹慎，都難以倖免。 惡意程式碼如何潛入官方版本 根據慢霧團隊的逆向結果，攻擊者在 v2.68 中新增檔案 4482.js，偽裝成分析模組。當用戶輸入或導入助記詞時，腳本將私鑰打包並送往位於 api.metrics-trustwallet.com 的伺服器。由於發佈流程遭竊改，惡意元件隨官方簽章一同下發，防毒與瀏覽器審查無法即時攔截。 重要提醒：持续有用户被盗，有使用受影响版本钱包的用户，一定要先断网！在导出助记词转移资产！否则在线打开钱包就会被盗！有助记词备份的一定先转移资产，在升级钱包！@evilcos @Foresight_News https://t.co/oxTGwxGwYl — 23pds (山哥) (@im23pds) December 26, 2025 鏈上證據顯示「專業團隊」作案 鏈上偵探 ZachXBT 與 Lookonchain 追蹤到多條熱度極高的出金路徑：BTC、ETH、SOL 被快速拆分後流入 KuCoin、ChangeNOW、FixedFloat 等平台，約 425 萬美元資金已完成洗出。截至 12 月 26 日清晨，攻擊者地址殘留約 280 萬美元。資金拆分速度、跳板帳號的準備程度，都顯示背後為訓練有素的團隊，不是臨時拼湊的釣魚集團。 官方反應與賠償方案 事件發酵超過 30 小時後，Trust Wallet 才發布公告坦承漏洞。實際控制人趙長鵬 (CZ) 隨即在社群貼文 中表態： 損失在可控範圍內，我們會透過 SAFU 基金進行全額賠償。 承諾雖暫時穩定市場，但也凸顯去中心化錢包一旦出事，仍仰賴中心化資本兜底的矛盾。 受影響用戶的緊急處置 僅更新或移除擴充程式不足以排除風險，因助記詞已外洩。資安團隊建議： 斷開網路，在離線環境生成新錢包。 使用硬體錢包或全新裝置輸入私鑰，轉移剩餘資產。 停用並永久棄置舊地址。 Trust Wallet 後續將公布完整鑑識報告與改進流程。資安社群則呼籲開源專案加速導入可重現建置 (Reproducible Build)，減少供應鏈被竄改的機會。 相關報導 402bridge 驚傳私鑰遭竊！逾 200 名用戶資產蒸發，慢霧：不排除內鬼所為 Coinbase史上最大「資料外洩事件」內幕：外包商內鬼串謀駭客，每筆資料售200美元 〈慢霧：Trust Wallet代碼庫疑遭被攻陷，建議用戶斷網轉移資產〉這篇文章最早發佈於動區BlockTempo《動區動趨-最具影響力的區塊鏈新聞媒體》。