- Trust Wallet 在平台漏洞導致下載暫停後,重新上架了其 Chrome 擴充功能。
- 2.71.0 版本新增驗證支援,協助受影響用戶安全提交申訴。
- 此次更新緊隨一起供應鏈攻擊事件,該事件導致數百萬資金被盜取。
Trust Wallet 在因技術漏洞導致更新推送中斷後,已於 Chrome Web Store 恢復其瀏覽器擴充功能。官方確認目前 2.71.0 版本已上架並可正常運作。該擴充功能允許用戶直接透過瀏覽器管理數位資產及與去中心化應用互動。Trust Wallet 透過官方社群媒體宣布重新上架,並表示此次更新加入了客服驗證碼支援,協助用戶進行申訴。
該擴充功能於一月初暫時下架,原因是由於 Google Chrome Web Store 平台方面的問題導致釋出程序受阻。Trust Wallet 表示,這次中斷並非用戶端錯誤,而是在新版發佈過程中發生的。官方感謝用戶耐心等待工程團隊解決問題並恢復存取權限。
根據 Trust Wallet 表示,2.71.0 版本旨在協助先前受資安事件影響的用戶。此次更新允許客戶直接透過擴充功能提交驗證碼,此功能配合公司現行的賠償流程與資產歸屬驗證。
Chrome Web Store 漏洞干擾更新發布
在 Trust Wallet 準備與近期安全漏洞相關的更新時,出現了服務中斷。執行長 Eowyn Chen 表示,團隊在釋出過程中遇到了 Chrome Web Store 的漏洞,導致擴充功能暫時下架。Trust Wallet 已於 2026 年 1 月 2 日發佈修正版本。
公司說明,該漏洞雖然影響了擴充功能的可用性,但不會改變原本預期的更新內容。問題解決後,Trust Wallet 恢復上架,並確認用戶可安全重新安裝或更新。官方建議用戶在恢復使用前,務必核對版本號碼。
Trust Wallet 也提醒用戶,在服務中斷期間避免安裝非官方來源的下載。官方指出,假冒或詐騙擴充功能經常在此類中斷時出現,因此呼籲用戶耐心等待官方版本回歸 Chrome Web Store 後再下載。
供應鏈攻擊導致早前損失
本次更新是在 2025 年 12 月底 Trust Wallet 瀏覽器擴充功能遭遇供應鏈攻擊之後推出。攻擊者在官方釋出流程之外上傳了惡意版本 v2.68.0。該版本內含竊取助記詞並盜領錢包資金的惡意程式碼。Trust Wallet 表示,攻擊者利用被盜 API 金鑰,繞過了標準審查機制。
資安分析師將此事件與產業層級稱為「Sha1-Hulud」的漏洞相關的開發憑證外洩連結起來。分析師指出,此案例凸顯軟體供應鏈,尤其是處理私鑰與數位資產的工具,所面臨的風險。
Trust Wallet 回報,攻擊者共入侵了 2,520 個錢包地址。公司指出,損失金額達數百萬美元,涵蓋 Bitcoin、Ethereum 及 Solana 等資產。Trust Wallet 補充,有些攻擊者控制的地址也盜領了與本次事件無關的錢包資產。
閱讀更多:Trust Wallet 發布有關瀏覽器擴充功能 v2.68 被駭更新說明
賠償流程與用戶指引
Trust Wallet 表示:「我們已確認本次事件受影響且資產遭竊的錢包地址共 2,520 個,受影響資產約 850 萬美元。」公司指出,17 個由攻擊者控制的地址持有這些資產。Trust Wallet 補充,仍持續追蹤其他受影響錢包,並會在確認後發布更新。
公司決定主動賠償受影響用戶。官方表示,申訴流程需要嚴格驗證,因為已經收到超過 5,000 筆申訴,涉及約 2,596 個已驗證錢包地址。Trust Wallet 也已開始直接與在事件發生後即聯繫客服的受害者合作。
Trust Wallet 建議用戶在調查期間停用受感染版本,並升級到較安全的版本如 v2.69。隨著 2.71.0 版本現已上線,官方提醒用戶僅從官方 Chrome Web Store 下載擴充功能,並確認版本號碼。
