Trust Wallet klaim kompensasi pertama selesai! Pengajuan klaim kerentanan v2.68 ditutup pada 14 Februari

Trust Wallet 完成首批 v2.68 漏洞賠償，已收到 95% 索賠申請，截止日期 2 月 14 日。官方強調受影響錢包已不安全，需立即使用「資產遷移」功能轉移資金。事件影響上百人損失約 600 萬美元，攻擊者透過惡意腳本竊取助記詞。

v2.68 安全漏洞完整事件回顧

Trust Wallet 今年 1 月初發出重大安全警報，證實其瀏覽器擴充功能 2.68 版存在嚴重漏洞，導致用戶資產外流。鏈上偵探 ZachXBT 追蹤顯示，受害者已達上百人，損失金額首次估算約 600 萬美元。官方通告指出，受影響對象為手機版安裝 2.68 版擴充功能的用戶。

攻擊者於打包流程插入名為 4482.js 的檔案，並聲稱用於「Analytics」。它在偵測到使用者輸入助記詞時，將資料傳送至已註冊的網域 metrics-trustwallet.com，再藉自動化腳本於 EVM 相容鏈、Bitcoin 與 Solana 快速提出資產。這種攻擊手法極為隱蔽，因為惡意腳本偽裝成正常的數據分析工具，在官方更新流程中潛入。

Trust Wallet 在公告中強調：「我們已發布 2.69 版修補，請所有瀏覽器擴充用戶立即升級。」如果您也是 Trust Wallet 用戶並已安裝 2.68 版，請切勿匯入助記詞，並最好透過 Chrome 線上應用程式商店的官方連結進行升級。在受污染環境匯入過的助記詞最好視為洩漏，最好創建全新錢包並將餘額遷移。

v2.68 漏洞攻擊手法解析

滲透方式：攻擊者在官方打包流程中插入惡意腳本 4482.js

偽裝策略：聲稱用於 Analytics 數據分析，降低審查疑慮

竊取機制：監聽用戶輸入助記詞動作，即時傳送至駭客控制的網域

資產轉移：自動化腳本在 EVM、Bitcoin、Solana 等多鏈快速提取資產

影響範圍：僅限 2.68 版瀏覽器擴充功能用戶，移動應用未受影響

這種攻擊方式的可怕之處在於它利用了用戶對官方更新的信任。用戶通常認為來自官方渠道的更新是安全的，不會仔細檢查更新內容。攻擊者正是利用這種信任，將惡意代碼混入正常的軟件更新中。

首批賠償完成 95%，資金已申請索賠

1 月 15 日，Trust Wallet 就其瀏覽器擴展程序 2.68 版本中的安全漏洞發布了最新消息：「符合條件的用戶的第一批補償已經完成，剩餘的索賠仍在分批審核和處理中。受瀏覽器擴展程序 2.68 版本事件影響的錢包不應再使用。」

首批賠償的完成標誌著 Trust Wallet 正在兌現對用戶的承諾。然而，「符合條件」這個限定詞暗示並非所有受影響用戶都能獲得賠償。通常，符合條件的標準包括：能夠證明資產確實因 v2.68 漏洞而被盜、損失發生在特定時間窗口內、以及提供了完整的證明材料。部分用戶可能因為無法提供充分證據或損失時間不符而被排除。

目前已收到約 95% 受影響資金的索賠申請。這個高比例顯示 Trust Wallet 的通知工作做得相對到位，絕大多數受影響用戶都已意識到問題並提交了索賠。剩餘 5% 可能是因為用戶未察覺損失、無法提供證明材料、或已放棄索賠。

Trust Wallet 設定索賠提交截止日期為 2026 年 2 月 14 日。這個截止日期距離當前約一個月，為尚未提交索賠的用戶提供了最後機會。截止日期的設定是標準的風險管理措施，使公司能夠明確賠償總額並關閉索賠窗口。用戶應盡快檢查是否受影響並提交索賠，逾期可能無法獲得賠償。

受影響錢包已不安全，資產遷移刻不容緩

官方強調，受影響錢包已不再安全，用戶需立即更新至最新版本並利用新推出的「資產遷移（Migrate assets）」功能轉移資金，廢棄舊錢包。「如果您仍在瀏覽器擴充功能或行動應用程式上使用受影響的錢包，請立即更新至最新版本，將您的資金遷移到新錢包，並停止使用舊的、已被入侵的錢包。」

為何受影響錢包永久不安全？一旦助記詞在受污染的環境中被暴露，就必須假設攻擊者已經掌握了這些信息。即使當前攻擊者已經提取了資產，助記詞可能已經被出售或分享給其他駭客。未來任何時候，只要該錢包中有資產，都可能再次被盜。因此，唯一安全的做法是完全廢棄受污染的錢包，創建全新的錢包並轉移所有資產。

Trust Wallet 新增了「遷移資產」功能，使用戶能夠安全地將受 Trust Wallet 瀏覽器擴充功能 v2.68 安全事件影響的錢包中的資金轉移到安全錢包。這個專門的遷移工具簡化了轉移流程，用戶無需手動發送每個資產，而是可以批量遷移。這種設計考慮到許多用戶可能持有多種代幣，逐一轉移既費時又可能遺漏。

資產安全遷移三步驟

第一步：更新至最新版本：透過 Chrome 線上應用程式商店官方連結升級至 2.69 版或更高

第二步：創建全新錢包：生成新助記詞，切勿在舊設備或受污染環境中創建

第三步：使用遷移功能：透過「資產遷移」工具批量轉移所有代幣，確認完成後永久廢棄舊錢包

官方建議在完全解決問題前，可以先將資產轉移到其他品牌錢包。這個建議顯示 Trust Wallet 對用戶資產安全的重視超過了對自身產品的推廣。暫時使用競爭對手的錢包，等待 Trust Wallet 完全解決安全問題後再回歸，是最審慎的做法。

600 萬美元損失凸顯供應鏈攻擊威脅

目前個別受害者回報損失從數萬到數十萬美元都有，總損失約 600 萬美元。這個數字雖然在大型交易所駭客事件中不算最高，但對於個人錢包用戶而言已是災難性的。更令人擔憂的是，這次攻擊針對的是官方更新渠道，意味著即使是謹慎的用戶也難以防範。

供應鏈攻擊是當前網路安全領域最棘手的威脅之一。與傳統的釣魚攻擊或惡意軟件不同，供應鏈攻擊針對軟件開發和分發過程，在用戶信任的官方渠道中植入惡意代碼。這種攻擊方式極難防範，因為用戶無法區分官方更新和被污染的版本。

Trust Wallet 事件暴露了加密錢包行業在供應鏈安全方面的薄弱環節。軟件打包流程、代碼審查機制、以及更新分發渠道都需要更嚴格的安全措施。對於整個行業而言，這是一次警鐘，提醒所有錢包提供商必須加強開發流程的安全性。

對於用戶而言，這次事件的教訓是：永遠不要在任何環境中輸入助記詞，除非絕對必要。最佳實踐是使用硬體錢包存儲大額資產，軟體錢包僅用於日常小額交易。此外，定期檢查錢包餘額，一旦發現異常立即轉移資產，不要等待官方通知。