Trust Wallet 揭露價值 850 萬美元的駭客事件詳情 - ForkLog：加密貨幣、人工智慧、奇點、未來

# Trust Wallet 揭露價值 850 萬美元的駭客事件詳情

Trust Wallet 團隊發布了於 12 月 26 日發生的事件報告。不法分子入侵了瀏覽器擴展，並轉移了價值 850 萬美元的資產。

根據聲明，此次攻擊影響了 2520 個地址。開發團隊承諾將全額賠償受害者的損失。

事件經過

此次駭客事件的原因是對 Sha1-Hulud 供應鏈的大規模攻擊，該攻擊在十一月已被記錄。當時，黑客獲取了 GitHub 上開發者的秘密資訊和 Chrome Web Store 的 API 密鑰。

利用被盜資料，不法分子進行了以下操作：

1. 在 Chrome Web Store 上上傳了帶有惡意程式碼的擴展版本 (2.68)，繞過了 Trust Wallet 的內部審查。
2. 註冊了域名 metrics-trustwallet.com，用於收集用戶的敏感資料 (助記詞和私鑰)。
3. 在通過 Google 審核後，自動向用戶推送更新。

惡意版本在 12 月 24 日至 26 日期間活躍。問題被發現後，團隊將擴展回滾至安全版本 2.69，並撤回了被盜的密鑰。

受影響範圍

此次漏洞僅影響在指定日期使用版本 2.68 桌面擴展的用戶。Trust Wallet 的行動應用程式及其他版本的擴展未受到影響。

分析師追蹤到 17 個由黑客控制的地址。總損失金額為 850 萬美元。

「我們將此事件視為一個重要的教訓，也是一個行業在供應鏈攻擊方面的轉折點。」— Trust Wallet 團隊表示

資金賠償流程

公司已開始與受害者聯繫。用戶需通過官方支援表單提交申請，並完成錢包所有權驗證，以獲得賠償。

Trust Wallet 強調由於詐騙案件激增，賠償流程較為複雜。目前已有超過 5000 個申請，針對 2520 個受害地址。團隊呼籲用戶保持耐心，並警惕釣魚攻擊：官方支援從不索取助記詞。

為防止類似事件再次發生，該項目已加強安全措施，包括代碼依賴性審計和帳號資料輪換。

提醒大家，根據 SlowMist 的數據，2025 年通過釣魚攻擊被盜資金較去年減少 83%，總額為 8385 萬美元。