本期內容

• Trust Wallet 錢包遭遇「供應鏈攻擊」

• 摩根大通在以太坊推出 MONY 貨幣市場基金

• 以太坊 L1 zkEVM 轉向安全優先

• 北韓駭客獨特的 45 天洗錢樣態

• Uniswap 協議收入開始回流代幣體系

Trust Wallet 瀏覽器外掛遭遇「供應鏈攻擊」

2025 年 12 月 24 至 26 日，Trust Wallet Chrome 擴充功能 v2.68 遭供應鏈攻擊，惡意更新在用戶解鎖錢包時攔截並外傳助記詞，造成約 700 萬美元損失。事件曝光後官方確認並釋出修補版 v2.69、移除惡意碼，承諾賠償；影響範圍限瀏覽器擴充功能，行動端未受影響。

Trust Wallet 長期被視為新手進入加密世界的熱門選擇，且與幣安交易所的生態深度整合。此次事件不僅衝擊用戶對錢包供應鏈安全的信任，也凸顯瀏覽器擴充套件在私鑰管理上的系統性風險。

摩根大通在以太坊推出 MONY 貨幣市場基金

摩根大通於 2025 年在以太坊主網推出代幣化貨幣市場基金 MONY，將美國國債與回購資產以 ERC-20 形式上鏈，成為首個由大型銀行發行、可在公鏈流通的合規基金。象徵傳統金融正式擁抱公有鏈，讓資產在受監管前提下實現 24/7 流動，也代表金融體系正從帳戶制邁向代幣化結算的新階段。

摩根大通長期對加密貨幣抱持保留態度，執行長 Jamie Dimon 多次公開批評比特幣，並將區塊鏈應用侷限於自家私有鏈體系（如早期的 Quorum、後來的 Onyx）。同時，傳統金融機構多半選擇在封閉環境中測試代幣化，而非直接進入公有鏈。直到近年，隨著貝萊德推出 BUIDL 等代幣化基金並成功吸引大量資金，公有鏈逐漸成為機構級資產的實際運行場域。

以太坊 L1 zkEVM 從追求速度轉向安全優先

以太坊基金會於 2025 年底宣布，L1 zkEVM 發展將從「追求速度」轉向「強化安全性」，要求在 2026 年前達成 128 位元的可證明安全標準，並限制證明大小於 300 KB 以內。這代表以太坊正式將重心從加速擴容，轉為確保底層安全性，為未來大規模金融應用打下穩固基礎。

zkEVM 被視為以太坊實現「可擴展但不犧牲去中心化」的關鍵技術。它透過零知識證明，讓大量交易能在鏈下計算、鏈上驗證，既維持以太坊主網的安全性，又大幅提升吞吐量。過去幾年，各團隊競逐的是誰能最快產生證明、降低延遲，但這也帶來安全性與可驗證性不足的隱憂。基金會此次調整方向，代表以太坊不再單純追求效能，而是回歸其核心價值：任何人都能在可驗證、可審計的前提下參與共識。

北韓駭客獨特的 45 天洗錢模式

2025 年全球加密貨幣遭竊金額達 34.1 億美元，其中北韓相關駭客占約 76%，成為最大來源。雖然整體攻擊次數下降，但單筆金額明顯放大，最大案例為 2 月的 Bybit 事件，損失約 15 億美元。攻擊手法以滲透內部系統為主，透過社交工程竊取權限；同時，小額但高頻的個人錢包攻擊也明顯增加。資金多經由中國地下洗錢網絡分流，顯示駭客行動正朝「高價值、低頻率」與「分散化洗錢」並行的方向演進。

這波攻擊背後也浮現一套高度結構化的「45 天洗錢節奏」。北韓相關駭客在得手後，通常不會立即清洗資金，而是先將資產分散至多層錢包，靜置數週以避開即時監控，接著再透過混幣器、跨鏈橋與地下兌換網絡分批轉移。整個流程往往歷時約一個半月，既能避開鏈上即時風控，又能在時間上切斷追蹤關聯，形成高度制度化的洗錢模式。

Uniswap 協議收入開始回流代幣體系

2025 年 12 月，Uniswap 社群通過「UNIfication」提案，正式啟動協議層級的價值回流機制。該方案啟用長期停用的手續費開關、一次性銷毀 10% 的 UNI 供給，並將協議收入自動用於代幣回購與銷毀。同時，Uniswap 透過成立去中心化法人（DUNA）承接營運與法律責任，使費用分配具備合規基礎。這標誌著 Uniswap 從單純的治理代幣，正式邁向具備實質現金流的協議型資產。

過去 DeFi 難以實現這類「協議層分潤」，關鍵在法律與結構限制。早期的去中心化協議刻意避免與「收益分配」掛鉤，主要是為了避開證券法風險——一旦代幣被視為能分享現金流，就可能被認定為證券，導致整個協議面臨監管不確定性。此外，DeFi 多以 DAO 治理為核心，缺乏能合法承接收入、簽署合約與承擔責任的實體，導致即使協議賺錢，也無法合理、穩定地把價值回饋給代幣持有人。