2025年加密貨幣安全：Trust Wallet 遭駭，Ledger 再次曝險——如何保護你的資產？

Bitget

資訊中心

Cointribune2026/01/14 18:08

顯示原文

作者:Cointribune

2024年底，兩起重大的網路安全事件動搖了用戶信心：Trust Wallet因Chrome擴展被入侵而損失700萬美元，以及Ledger再次發生個人資料外洩。隨著攻擊不斷增加，行業正在探索徹底不同的方式來保護這個生態系統。

2025年加密貨幣安全：Trust Wallet 遭駭，Ledger 再次曝險——如何保護你的資產？ image 0

重點摘要

Trust Wallet及Ledger事件凸顯用戶層級安全失誤日益嚴重。
中心化架構為錢包與資料帶來單點故障風險。
去中心化、後量子安全模型有望成為長期解決方案。

Trust Wallet：惡意擴展竊取700萬美元

2025年12月24日，Trust Wallet的Chrome擴展（2.68版）更新後，攻擊者得以跨多條區塊鏈竊取近700萬美元。此次事件最早由鏈上調查員ZachXBT揭露，受影響的是將助記詞匯入受感染擴展程式的數百位用戶。

根據PeckShield與SlowMist的分析，惡意程式碼將錢包資料悄悄傳送到釣魚網域（metrics-trustwallet.com），該網域在攻擊發生前數天註冊。被竊資金—約300萬美元的bitcoin及超過300萬美元的ethereum—被導入中心化交易所（ChangeNOW、FixedFloat、KuCoin）進行洗錢。

Trust Wallet執行長Eowyn Chen證實，惡意擴展是透過一組遭入侵的Chrome Web Store API金鑰上傳，繞過了內部驗證流程。Binance（Trust Wallet母公司）聯合創辦人趙長鵬宣布將全額賠償受害者，並暗示可能涉及「國家級攻擊者」或內部人員。

Ledger：第三方合作夥伴導致資料再度外洩

2026年1月初，Ledger通知用戶，全球支付處理商與電商合作夥伴Global-e遭駭，導致個人資料再度外洩。受影響資訊包括部分ledger.com購買者的姓名、電子郵件及郵寄地址。

Ledger澄清，其內部系統、硬體及軟體未受影響。Global-e無法存取助記詞（24字）、私鑰或用戶餘額。然而，這起資料外洩重燃外界擔憂：2020年，類似事件曾曝露超過27萬名用戶資料，導致持續的釣魚攻擊與「鋼管攻擊」（針對用戶的實體勒索）。

根據Ledger內部研究，2025年社交工程攻擊較2024年成長40%，攻擊者現利用被竊個資繞過傳統安全措施。

核心問題：易受攻擊的中心化架構

這兩起事件雖然性質不同，但有共通點：過度依賴單點故障。Trust Wallet僅因一組API金鑰遭入侵，即能注入惡意程式；Ledger則因信任外部供應商，導致用戶資料曝露。

根據Chainalysis 2025年報告，今年加密生態系損失逾34億美元，且針對個人用戶的攻擊顯著增多。CertiK亦證實此趨勢：駭客正從智能合約漏洞轉向利用人為弱點與外圍入口。

面對現實，區塊鏈網路安全產業正積極探索新模式，以突破傳統架構的侷限。

區塊鏈網路安全解決方案概覽

多家主要業者提供互補式方法以保障Web3生態：

CertiK：產業標準的審計

作為智能合約審計領導者，CertiK已募資2.96億美元，為3,200家客戶保護逾3,000億美元資產。其Skynet平台提供即時監控，形式化驗證工具則於上線前檢測漏洞。限制：審計僅為某一時點快照，無法涵蓋部署後威脅或基礎設施攻擊。

Hacken與Quantstamp：審計及認證

Hacken及Quantstamp皆提供業界認可的審計服務，並為交易所提供Proof-of-Reserves（儲備證明）。例如Bybit EU即採用Hacken審計以提升透明度。限制：如同CertiK，這些審計亦無法防護新型威脅或即時基礎設施入侵。

Naoris Protocol：邁向去中心化後量子網安

Naoris Protocol提出徹底不同的方式，將每個連網裝置轉化為安全驗證節點。該協議由David Carvalho於2018年創立，部署去中心化「信任網格（Trust Mesh）」，裝置彼此即時審核，消除單點故障。

與傳統單點審計不同，Naoris運作於創新共識機制dPoSec（Decentralized Proof of Security），每個節點持續驗證其他節點完整性。平台亦整合SWARM AI，分散式人工智慧協調威脅反應並即時發佈防禦更新。

Naoris特別之處在於其後量子基礎設施。現有加密演算法（如RSA、ECC）未來恐受量子電腦威脅，Naoris則採NIST、NATO NCIA、ETSI（如Dilithium-5）標準，確保長期韌性。2025年9月，該協議於美國SEC文件中被列為抗量子區塊鏈基礎設施參考模型。

測試網於2025年1月上線，數據亮眼：已處理超過一億筆後量子交易、330萬錢包、100萬驗證節點及6億筆威脅被中和。該項目已募資3,100萬美元，投資者包括Tim Draper，顧問團包含前IBM、NATO與白宮官員。

對用戶的意義

以Trust Wallet為例，信任網格架構可於受感染擴展異常行為（對外域傳送資料）前即時偵測。網路內每台裝置皆能集體回報異常。

對Ledger而言，過度依賴單一供應商（Global-e）突顯中心化模型侷限。若能去中心化驗證第三方系統完整性，可有效降低攻擊面並限制資料曝露。

分散式「零信任」理念不僅守住單一節點，而是強化整個生態系統。此模式不僅適用於錢包，也能覆蓋DeFi平台、DAO及重要治理系統。

網路安全解決方案比較

解決方案	類型	覆蓋範圍	後量子支援
CertiK	單點審計	智能合約	否
Hacken	審計+PoR	智能合約、儲備金	否
Naoris Protocol	去中心化網格	Web2 + Web3 + 基礎設施	是（NIST/NATO）