Trust Wallet 瀏覽器擴展 v2.68 漏洞：損失 850 萬美元，影響 2,520 個錢包及補償計劃

來源：CryptoTale 原始標題：Trust Wallet 發布有關瀏覽器擴展 v2.68 黑客事件的更新 原始連結：https://cryptotale.org/trust-wallet-issues-update-on-browser-extension-v2-68-hack/ Trust Wallet 在一個惡意瀏覽器擴展程式危害用戶錢包後，發布了詳細的更新。事件涉及在 2025 年 12 月 24 日至 12 月 26 日期間，Chrome Web Store 上未經授權的 Trust Wallet 瀏覽器擴展 v2.68 版本發布，攻擊者利用洩露的發布憑證進行了攻擊。

Trust Wallet 確認的內容

根據 Trust Wallet 的說法，攻擊者發布了一個篡改過的 v2.68 版本，繞過了內部的審核和批准流程。攻擊者使用了一個洩露的 Chrome Web Store API 密鑰來在外部發布擴展。

該惡意擴展允許攻擊者存取敏感的錢包資料，並在用戶打開錢包後，未經授權即可執行交易。Trust Wallet 強調，此事件僅影響在指定時間內登入的用戶。

公司高度相信此事件與 2025 年 11 月的 Sha1-Hulud 攻擊有關——這是一場行業範圍內的供應鏈漏洞，影響了多個行業的 npm 套件。在該事件中，Trust Wallet 的開發者 GitHub 機密資訊被曝光，包括擴展源碼存取和發布憑證。攻擊者利用這些存取權，準備了一個基於早期擴展程式碼的修改版本，該版本引用了攻擊者控制的域名，旨在收集錢包資料。

影響範圍

只有在 12 月 24 日至 12 月 26 日期間登入的 v2.68 瀏覽器擴展用戶受到影響。12 月 26 日 UTC 11:00 之後登入的用戶未受到影響。行動應用程式用戶和其他版本的瀏覽器擴展未受到影響。

Trust Wallet 確認在事件中有 2,520 個錢包地址被盜，竊取資產總額約為 850 萬美元，涉及多個區塊鏈。調查人員將這些損失與攻擊者控制的 17 個錢包地址相關聯。然而，這些攻擊者地址也盜取了非 Trust Wallet 用戶的資產，調查人員仍在追蹤其他未確認的錢包。

應對措施與賠償計劃

Trust Wallet 已回滾該擴展並發布了標記為 v2.69 的新版本，同時停用發布憑證並限制部署存取權。此次應對措施包括與區塊鏈分析合作夥伴和研究人員協調，協助標記可疑的錢包活動並破壞攻擊者的基礎設施。

Trust Wallet 確認將自願向受影響的用戶提供賠償。公司已確認有 2,520 個經過驗證的錢包符合賠償資格。然而，Trust Wallet 收到超過 5,000 項申請，導致驗證方面的疑慮。因此，公司強調將採用結合多重資料點的嚴格所有權驗證和人工案例審查，以防止詐騙。

Trust Wallet 宣布在瀏覽器擴展 v2.70 中開發一個驗證工具，為受影響用戶提供額外的驗證措施。受影響的用戶被建議將資金轉移到新建立的錢包中。該更新還詳細說明了持續的安全改進措施，包括更嚴格的存取控制、增強的監控和憑證輪換。調查仍在進行中，相關更新將通過官方渠道持續發布。