Trust Wallet擴展功能的大規模駭客事件，補償審查中出現虛假請求｜約5,000件申請中僅有2,600件被判定為正當損失

補償請求的可信度問題浮出水面

自我管理型錢包「Trust Wallet」在面對補償應對時，暴露出新的挑戰。CEO陳伊文（イーウィン・チェン）表示，12月25日發生的瀏覽器擴充功能中惡意程式碼混入事件，已受理約5,000件補償請求，但實際受害錢包數僅有2,596個。

對於這一巨大差異，陳氏表示：「很可能包含大量虛假申請或重複申請。」該公司優先追求正確性而非速度，並導入嚴格的驗證流程，以確保僅正當受害者能獲得補償。

技術取證確定受害者

Trust Wallet團隊目前正展開複雜的驗證工作。該公司採用的識別方法結合了交易記錄、擴充功能版本資訊、錢包所有權證明等多個資料點。陳氏也指出，攻擊者似乎對Trust Wallet的原始碼有深入了解，技術取證調查也同步進行中。

估計總損失約為700萬美元（約11億日圓），母公司相關人士及張鵬·趙（チャンポン・ジャオ）等也表示會全額補償正當受害者。不過，該公司明確表示將逐步處理退款，以防止資金流向假申請者。

安全威脅的實態

此次駭客攻擊的原因是Chrome瀏覽器擴充功能（版本2.68）中植入的惡意程式碼。在加密貨幣研究人員指出後，該公司緊急發布修正版（版本2.69），並建議用戶禁用擴充功能。

值得注意的是，手機應用程式及其他瀏覽器版本擴充功能未受到影響。該公司迅速應對，於12月27日在官方支援門戶正式開始受理受害者申請。

警惕釣魚詐騙

補償程序啟動後，也浮現出新的風險。有詐騙者利用補償名義，設置可疑表單進行釣魚詐騙，Trust Wallet提醒用戶不要回應官方支援頁面以外的指引。

受害用戶在申請補償時，需透過專用表單提交電子郵件、錢包地址、攻擊者的收款地址等資訊。

自我管理型錢包產業的警示

此次事件揭示了自我管理型錢包的致命弱點。在瀏覽器擴充型錢包普及的背景下，軟體更新傳遞路徑（供應鏈）成為新的攻擊入口的風險被指出。

業界人士認為，即使是由用戶自行管理私鑰的錢包，也仍依賴中心化的應用分發與軟體更新。專家建議採用可重現的建置流程、強化完整性檢查、分散更新傳遞，以提升信賴度，並呼籲整個產業重新檢視安全標準。

該公司此次的應對，可能為加密資產錢包產業的補償體系與安全驗證方式樹立重要先例。