Shai-Hulud供應鏈攻擊：Trust Wallet遭竊850萬美元事件分析與防禦建議

2025年11月，Trust Wallet的瀏覽器擴展程式版本2.68遭遇嚴重的供應鏈攻擊，導致約850萬美元的加密資產被盜。這一事件揭示了供應鏈攻擊的嚴重性及其對企業和用戶的潛在威脅。本文將深入分析這次攻擊的手法、影響範圍，並提出防禦建議。

事件概述

這次攻擊被稱為Shai-Hulud供應鏈攻擊，攻擊者成功篡改了Trust Wallet的瀏覽器擴展程式源碼，並將帶有後門的版本2.68上傳到Chrome Web Store。這一行為成功地繞過了內部審查流程，導致2,520個錢包地址受到影響，合計被盜約850萬美元的加密資產。Trust Wallet在事件發生後迅速回應，發布了安全版本2.69，並承諾全額賠償受影響的用戶。

攻擊手法分析

Shai-Hulud供應鏈攻擊利用了軟體開發和分發流程中的漏洞，具體手法包括：

• 利用開發者設備或代碼倉庫的漏洞，進一步篡改軟體源碼。(SecurityWeek, 2025)
• 將帶有後門的瀏覽器擴展程式上傳到Chrome Web Store，繞過審查流程。(Phemex News, 2025)
• 透過篡改的擴展程式，窃取用戶的敏感資料，包括錢包地址和私鑰。(CyberExpress, 2025)
• 快速轉移被盜的加密資產到中心化交易平台，以避免追蹤。(socail media)

影響範圍與損失

這次攻擊導致2,520個Trust Wallet用戶的錢包地址受到影響，合計被盜約850萬美元的加密資產。攻擊者利用受感染的擴展程式，窃取用戶的錢包資料，並進行未經授權的交易。根據報導，受影響的加密資產包括比特幣、EVM和Solana等多種類型。

防禦建議

為了防止類似的供應鏈攻擊，企業和個人用戶應採取以下防禦措施：

• 定期檢查和更新軟體與擴展程式，確保使用最新且安全的版本。(SecurityWeek, 2025)
• 加強開發者設備和代碼倉庫的安全，使用多因素驗證(MFA)和強密碼政策。(CyberExpress, 2025)
• 建立嚴格的審查流程，確保所有上傳的軟體和擴展程式經過充分的安全檢查。(Phemex News, 2025)
• 定期進行安全測試和漏洞掃描，及時發現和修補潛在的安全漏洞。(CWE-284, 2025)
• 教育用戶識別和避免使用來路不明的軟體和擴展程式，提高安全意識。(socail media)

結論

Shai-Hulud供應鏈攻擊揭示了現代軟體開發和分發流程中的潛在風險。企業和用戶必須加強安全措施，確保軟體和擴展程式的安全性。通過採取上述防禦措施，可以有效降低供應鏈攻擊的風險，保護用戶的資產和數據安全。

參考資料與原文來源

• 原文來源: https://phemex.com/news/article/trust-wallet-plugin-attack-results-in-85-million-loss-50442
• 原文來源: https://hk.investing.com/analysis/article-117395
• 原文來源: https://thecyberexpress.com/shai-hulud-attack-trust-wallet/
• 原文來源: https://www.securityweek.com/shai-hulud-supply-chain-attack-led-to-8-5-million-trust-wallet-heist/
• 原文來源: https://x.com/Foresight_News/status/2004417684923207940 (社交媒體)

🧠本文由 DreamJ AI 技術新聞生成系統 自動撰寫並進行語意優化，僅供技術研究與教學使用。
請以原廠公告、CVE 官方資料與安全建議為最終依據。