全球知名加密貨幣錢包 Trust Wallet 於 2025 年 12 月 25 日聖誕節當天遭遇重大安全事故,其 Chrome 瀏覽器擴充功能版本 2.68 被植入惡意程式碼,導致約 700 萬美元(約港幣 5,460 萬元)用戶資產被盜。Binance 創辦人趙長鵬 (CZ) 隨即宣布將透過 SAFU (用戶安全資產基金) 全額賠償受影響用戶,但這宗事件再次突顯熱錢包的系統性風險,並令企業界對冷錢包配置策略作深度反思。區塊鏈安全公司 SlowMist 分析指出,攻擊者極可能是內部人員或高度專業的 APT (進階持續性威脅) 組織,這為企業數碼資產安全管理敲響警鐘。
精心策劃的內部滲透攻擊
這次攻擊展現出罕見的專業性和預謀性。SlowMist 聯合創始人余弦在 X 平台上披露的時間軸顯示,攻擊者早在 12 月 8 日就註冊了惡意網域 api.metrics-trustwallet.com 並開始建立基礎設施,12 月 22 日成功在 Trust Wallet 擴充功能中植入後門程式碼,直到 12 月 24 日才將含有惡意程式碼的版本 2.68 推送至 Chrome Web Store。惡意程式碼會遍歷所有儲存的錢包並自動提示用戶輸入助記詞,利用用戶密碼解密後直接傳送至攻擊者控制的伺服器。
區塊鏈偵探 ZachXBT 報告指出,數百名 Trust Wallet 用戶受到影響,被盜資金迅速透過混幣服務轉移,其中約 280 萬美元(約港幣 2,184 萬元)仍留在攻擊者錢包中。更值得警惕的是,攻擊者同步發動釣魚攻擊,建立仿冒網站 fix-trustwallet.com 誘導恐慌的用戶輸入助記詞,WHOIS 數據顯示該網域與惡意伺服器網域使用相同註冊商,暗示可能出自同一組織。多位業內專家包括政府區塊鏈顧問 Anndy Lian 均認為「這種攻擊手法不自然,內部人員作案的可能性很高」。
2025 年加密貨幣安全形勢嚴峻
Trust Wallet 事件只是 2025 年加密貨幣安全危機的冰山一角。根據 CoinDesk 報告,2025 年上半年投資者因黑客攻擊和詐騙損失超過 24.7 億美元(約港幣 192.6 億元),已超越 2024 年全年總額,其中錢包入侵造成 17 億美元(約港幣 132.6 億元)損失,釣魚攻擊在 132 宗事件中竊取 4.1 億美元(約港幣 31.9 億元)。更令人擔憂的是,熱錢包漏洞在 2025 年佔被盜加密貨幣資金的 62%,顯示長期連接互聯網的儲存方式面臨結構性風險。
北韓相關的 APT 組織在加密貨幣攻擊中扮演關鍵角色。TraderTraitor 組織(隸屬於 Lazarus 集團)在 2024 年底至 2025 年初策劃了價值 15 億美元(約港幣 117 億元)的 ByBit 交易所黑客攻擊,透過入侵開發者憑證和操控 API 連接存取錢包基礎設施。ASEC 在 2025 年 9 月的 APT 趨勢報告中指出,北韓相關組織已將攻擊目標從開發者擴展至市場營銷和交易專業人士,並針對 macOS、Windows 和 Linux 環境度身訂造感染鏈,顯示攻擊手法持續進化。AInvest 分析顯示,2025 年內部威脅導致的加密貨幣交易所竊盜案件金額達 21.7 億美元(約港幣 169.2 億元),其中 Coinbase 和 ByBit 等重大案件突顯傳統存取控制機制的失效。
企業冷錢包配置的戰略價值
面對日益嚴峻的安全威脅,企業界正在重新評估數碼資產管理策略。冷錢包(離線儲存)與熱錢包(網上儲存)的本質差異在於網絡連接性——冷錢包將私鑰完全隔離於互聯網環境之外,使遙距黑客攻擊幾乎不可能發生。Cobo 在 2025 年 12 月發布的研究報告強調,「冷錢包提供最大程度的網絡攻擊防護,非常適合企業國庫儲存、長期持有和監管合規需求」。
Binance 的 SAFU 基金本身就採用冷錢包儲存,其餘額可在區塊鏈上公開驗證,體現了透明度原則。該基金自 2018 年成立以來已追回超過 7,300 萬美元(約港幣 5.69 億元)被盜資金,並在 2024 年將資產轉換為 USDC 穩定幣以應對市場波動和監管壓力。雖然 Hacken 在 2023 年的獨立審計中發現儲備證明系統存在漏洞,但 Binance 宣稱已修補問題,並通過 Trust Wallet 事件的快速賠償承諾展現其保障機制的實用性。
香港正在構建全面的數碼資產監管框架。香港財經事務及庫務局 (FSTB) 與證監會 (SFC)、金管局 (HKMA) 合作,計劃建立虛擬資產交易商和託管服務提供者的統一監管發牌制度。Standard Chartered 宣布將於 2026 年 1 月在香港推出 Bitcoin 和 Ethereum 託管服務,該行已於 2024 年 9 月在阿聯酋、2025 年 1 月在盧森堡推出數碼資產託管服務,並成為首家在 2025 年 7 月推出現貨加密貨幣交易的全球系統重要性銀行。這些發展顯示傳統金融機構正在以合規的託管解決方案填補市場空白。
混合策略成為企業最佳實務
領先的數碼資產管理專家建議,企業不應在冷錢包和熱錢包之間做二選一,而應根據使用情況設計混合架構。Cobo 指出,「2025 年隨著交易所成熟和機構採用增長,錢包安全策略必須兼顧外部和內部威脅防護、即時操作可存取性、明確的治理政策以及監管合規」。冷錢包提供強大保護但存取速度較慢,熱錢包支援即時交易但暴露於網絡風險,而 MPC (多方計算) 和託管基礎設施可將兩者優勢結合。
對於管理大量數碼資產的企業而言,實施自動化政策至關重要。數碼資產管理系統可根據資產年齡、存取頻率或監管要求等預設政策,自動將資產轉移至冷儲存。這種方法在最佳化儲存資源的同時確保數據完整性和合規性,並透過冗餘備份機制(如不同地點的重複副本)增強數據安全。關鍵是平衡成本節約與及時存取歸檔資產的需求,同時維護嚴格的存取控制和全面的 Metadata 追蹤。
專家推薦的 2025 年最佳硬件錢包包括 Ledger Nano X 和 Trezor Model T,兩者均提供離線儲存、雙重認證和多幣種支援。對於日常使用,Exodus 等軟件錢包提供便利性和廣泛的加密貨幣支援,但必須啟用所有安全功能以減輕網上風險。企業應根據安全性、便利性和特定功能需求評估錢包選項,對高價值資產優先考慮硬件錢包,對需要頻繁交易的營運資金使用受監控的熱錢包。
Trust Wallet 事件提醒我們,即使是擁有百萬級用戶的知名平台也可能面臨供應鏈攻擊和內部威脅。企業必須超越單一錢包解決方案,建立包含冷儲存、存取控制、即時監控和事件應變計劃的多層防禦體系。隨著香港等司法管轄區加強監管框架,合規的託管服務將成為機構投資者的優先選擇,而冷錢包技術將繼續作為保護數碼資產的基石。
