手機遊戲恐盜加密貨幣錢包！ Unity 引擎緊急修復「8年老漏洞」

Unity 引擎爆出 2017 年起就有的程式漏洞，可能導致加密貨幣錢包外洩，因為七成以上的熱門手遊都是用 Unity 打造，引起玩家恐慌。
（前情提要：罹癌實況主玩Steam遊戲被駭加密錢包，Valve緊急下架藏木馬遊戲 ）
（背景補充：OpenAI幫打造動畫電影！馬斯克不輸：xAI和「星戰前夜」談合作AI遊戲開發 ）

Unity 引擎被爆料存在可追溯至 2017 年的「進程內碼注入」漏洞，影響全球約七成熱門手機遊戲。駭客可透過受感染的遊戲進入 Android、Windows、macOS 與 Linux 系統，竊取加密錢包助記詞或私鑰。根據Cointelegraph 報導，漏洞雖已確認，但 Google 指出 Play 商店目前「未偵測到」實際犯罪案例。

漏洞範圍與攻擊路徑

Unity 佔手機遊戲市場的主導地位，超過 50% 新作以此打造，使漏洞可能遍及大量玩家。駭客可在應用程式內部植入惡意代碼，再透過覆蓋攻擊、輸入捕獲或螢幕截圖，引出假的登入畫面誘騙用戶輸入錢包密碼。但 Google APP 負責團隊表示：

基於我們目前的檢測，利用此漏洞的惡意應用程式尚未在 Play 商店中被發現。

比起受官方審查的 Google Play，從第三方網站安裝 APK 的 sideloading 行為風險更高，不僅缺乏事前掃描，也無法自動取得 Unity 與開發者後續釋出的修補。

Unity 已開始向合作夥伴提供修補工具，並計畫下週公開更新指引。在修補全面到位前，玩家可採取四個方法保護自己的加密資產：

• 隨時更新遊戲與系統
• 避免從不明來源下載 APK
• 檢查並關閉不必要權限，如覆蓋於其他應用之上
• 將存放大量加密資產的裝置與玩遊戲的手機分開