Chrome 瀏覽器應用程式中的最大風險：Trust Wallet 2.68 版本中私鑰收集事件的完整分析

及時發現的危險更新

Trust Wallet 公司在十二月下旬宣布了一個危險事件，並在 Chrome Web Store 推出了 2.69 版本。研究人員和安全專家發現，存在問題的 2.68 版本在短時間內收集用戶的敏感信息。事件估計造成的總損失約為 6 到 7 百萬美元，這被認為是對瀏覽器應用安全性的重要警示。

Chrome Web Store 的記錄顯示，2.69 版本於 2025 年 12 月 25 日更新。在此之前，已有超過 100 萬用戶使用了存在問題的錢包版本。這個數字只是最低估計，實際影響取決於用戶何時輸入 seed phrase 或私鑰。

技術證據：JavaScript 文件中發現惡意邏輯

安全研究人員在深入分析 2.68 版本時，發現名為 “4482.js” 的 JavaScript 文件中存在可疑代碼。該邏輯可能會將敏感錢包信息傳送到外部服務器，並可作為進一步惡意應用的入口。

Seed phrase 是錢包恢復的關鍵。如果此信息被轉移到第三方，則用戶的所有現有和未來地址都將面臨風險。研究人員和調查人員尚未收集完整的技術細節，但預計損失金額會隨時間變化。

用戶操作指南

更新前的檢查流程：

如果您在安裝 2.68 版本時輸入了 seed phrase 或私鑰，請盡快執行以下步驟：

1. 檢查並撤銷所有代幣授權。這是瀏覽器應用中耗時較少但非常重要的一步。

2. 使用新的 seed 重新創建所有使用過的帳戶。將在舊 seed 中的資產轉移到新地址。

3. 將瀏覽器擴展程序升級到 2.69 版本。可以通過 Chrome Web Store 自動更新或手動更新。

如果未輸入 seed phrase，只需升級到 2.69 即可，無需額外操作。但為了安全起見，建議重新檢查授權的應用。

瀏覽器擴展生態系統的擴展目標

現代應用程序和用戶交易都集中在正確的點上。Chrome Web Store 及類似平台在檢測敏感代碼方面面臨困難。安全研究表明，惡意應用可能通過靜態檢查，並隨著時間推移增加其隱蔽性。

錢包應用的特點在於用戶簽名過程中直接輸入敏感信息。被破壞的瀏覽器擴展正是針對此點進行攻擊。原因在於，瀏覽器應用的基礎設施具有強大的驗證和身份識別能力，但一旦安全事件發生，損失將非常巨大。

TWT 市場反應與賠償流程

Trust Wallet Token (TWT) 在事件發生當天呈現謹慎上漲的趨勢。根據最新數據，TWT 表現如下：

• 當前價格：$0.95
• 24 小時變化：+0.78%
• 日內最高：$0.97
• 日內最低：$0.88

Trust Wallet 公司在官方聲明中承認約 $7 million 的損失，並宣布將向受影響用戶提供全額賠償。賠償流程仍在進行中，公司將很快提供更詳細的後續指引。

特別提醒：騙子可能會冒充 Trust Wallet 發送假消息，進行修復和賠償的騙局。用戶應警惕非官方渠道的通知，避免向陌生人提供 seed phrase 或私鑰。

未來風險的最小化

此事件凸顯了錢包擴展程序在構建完整性和版本控制方面的必要性。未來在分發瀏覽器應用時，封閉或半封閉代碼、拆分密鑰簽名和頻繁發布 hotfix 的需求將進一步增加。

請警惕可能出現的受感染或假冒的“修復”域名。類似的陷阱會誘騙用戶在解決問題的名義下交出 seed phrase 和私鑰。

錢包基礎設施和 Chrome 等主要瀏覽器平台應該進一步提高安全和信任標準，而不是降低要求。