幣安旗下加密貨幣錢包 Trust Wallet 更新安全事件:用戶總損失 850 萬美元將獲得全額賠付,攻擊源頭則是 NPM 供應鏈攻擊。早前多個 NPM 軟體包遭到駭客攻擊,Trust Wallet 的 GitHub 和谷歌擴充商店 API 都被洩露,駭客利用原始碼自己編譯後門版本並利用 API 經由谷歌推送給用戶,隨後開始竊取錢包助記詞。
早期幣安旗下的非託管加密錢包應用程式 Trust Wallet 遭到駭客攻擊,駭客利用未知方式直接替換了位於谷歌瀏覽器擴充功能商店的 Trust Wallet,這個版本攜帶後門用來竊取用戶的加密錢包助記詞。
截止至本文發佈時目前有統計的損失金額合計達到 850 萬美元,畢竟 Trust Wallet 早在 2018 年就被幣安收購,所以有幣安兜底至少被盜的用戶可以獲得全額賠付而不是自己蒙受損失。
至於最初的攻擊源頭竟然是 NPM 供應鏈攻擊,發動攻擊的駭客團夥則是 Shai-Hulud,這起引起整個產業的供應鏈攻擊事件波及多家企業,當時有大量的 NPM 軟體包被劫持並添加後門程式。
下面是時間軸:
2025 年 11 月:多個 NPM 軟體包被劫持並添加後門程序,此次攻擊也影響 Trust Wallet 並導致其開發者的 GitHub 金鑰洩露,駭客透過金鑰可以獲得擴展程式原始碼以及谷歌擴充程式商店的 API 金鑰。
利用 API 金鑰駭客可以不經過 Trust Wallet 團隊強制審核直接發布新的擴充程序,這也是後來 Trust Wallet 擴充功能被替換為惡意版本的主要原因。
2025 年 12 月:駭客開始做準備工作,註冊了新網域 metrics.trustwallet.com 來託管惡意程式碼,相關惡意程式碼在攜帶後門的 Trust Wallet 擴充功能中使用。
由於 GitHub API 洩露,駭客拿到了 Trust Wallet 早期版本的完整原始碼,駭客利用原始碼自行編譯了新版本並添加後門,隨後再利用谷歌的 CWS API 金鑰直接上傳後門版本。
2025 年 12 月 25 日前後:此時駭客已經提前拿到諸多錢包的助記詞,但駭客沒有急於行動而是等待聖誕假期,這時候 Trust Wallet 團隊和用戶可能警惕性都會稍微放鬆些。
在聖誕節當天首例錢包被盜刷事件被公開報道,0xAkinator 和 ZachXBT 發現問題並積極識別和追踪攻擊者的錢包地址,同時 Trust Wallet 合作夥伴 Hashdit 和內部系統也發出多條可疑警報。
隨後有白帽安全研究人員對駭客控制的網域發起 DDoS 攻擊以癱瘓其伺服器,這也可以導致用戶安裝的惡意版本無法連接伺服器從而減少受害者和被盜刷的金額。
最後 Trust Wallet 回滾經過驗證的乾淨版本並發布 v2.69 透過谷歌推送給用戶,最終黑客成功盜取約 850 萬美元的加密貨幣,不過部分地址的資金還未被清洗就被凍結。
