Google Chrome отримав критичне оновлення безпеки, але ваш криптогаманець все ще може бути під загрозою
Технічний директор Ledger Чарльз Гільєме попереджає користувачів криптовалют після того, як Google виправив 26 вразливостей Chrome. Ось що потрібно знати та робити користувачам браузерних гаманців зараз.
Soumen Datta
Березня 23, 2026
(Реклама)
Зміст
Головний технічний директор Ledger Чарльз Гійме переконуючи Користувачі криптовалют оновлять Google Chrome одразу після того, як Google випущений патч безпеки, що виправляє 26 вразливостей, включаючи 4 з рейтингом критичних та 22 з рейтингом високого рівня серйозності.
Це виправлення усуває 4 критичні та 22 високі вразливості. Гарне нагадування про те, що ви не можете довіряти своєму браузеру/комп'ютеру для своїх цінних секретів... https://t.co/9MhQ9jgNCj
— Charles Guillemet (@P3b7_) Березня 21, 2026
Серед недоліків – помилки керування пам’яттю, які можуть дозволити неавтентифікованому зловмиснику дистанційно виконувати шкідливий код через спеціально створену веб-сторінку.
Що насправді сказав технічний директор Ledger?
Гільєме публічно поширив це попередження, додавши гостре зауваження, яке виходить за рамки самого патчу Chrome. «Гарне нагадування про те, що ви не можете довіряти своєму браузеру чи комп’ютеру свої цінні секрети», – сказав він. Цей коментар безпосередньо спрямований на криптокористувачів, які покладаються на браузерні гаманці та розширення для щоденної діяльності.
Вразливості, позначені в цьому циклі виправлень, поділяються на три класичні категорії помилок керування пам'яттю:
- Умови використання після звільнення, коли програма продовжує використовувати пам'ять після її випуску
- Переповнення буфера купи, коли дані записуються за межі виділеного простору пам'яті
- Доступ за межами дозволеного діапазону, коли код зчитує або записує пам'ять поза межами призначеного діапазону
Кожен з них можна використовувати для запису корисних навантажень у системну пам'ять та віддаленого виконання коду, часто без необхідності робити щось інше, окрім відвідування шкідливої веб-сторінки.
Чи може експлойт Chrome фактично виснажити ваш криптогаманець?
Ваша криптовалюта зберігається в блокчейні, а не в самому браузері. Однак, щоб завдати реальної шкоди, робочому експлойту браузера не потрібно безпосередньо досягати блокчейну. Він спрямований на рівень інтерфейсу гаманця, і саме тут ризик стає конкретним.
Браузерні гаманці, такі як MetaMask, Rabby та Phantom, працюють переважно як розширення Chrome. Якщо експлойт виконується всередині браузера, зловмисник може взаємодіяти з інтерфейсом користувача гаманця кількома способами.
Як зловмисники використовують експлойти браузера проти користувачів гаманців
Після потрапляння в середовище браузера, поширені методи атаки включають:
- Підказки щодо підроблених гаманців: Оверлеї, що імітують MetaMask або інші екрани підтвердження гаманця, просять користувачів «повторно підключитися» або «отримати» актив. Клік на них підписує схвалення транзакції, яка переміщує кошти на гаманець зловмисника.
- Схвалення витрат: Замість негайної крадіжки коштів, експлойт запитує підпис підтвердження токена. Це дає смарт-контракту зловмисника дозвіл на передачу токенів у будь-який момент у майбутньому.
- Викрадення сесії: Якщо експлойт захоплює файли cookie сесії з відкритої вкладки обміну, він може працювати від імені користувача до завершення сесії, переміщуючи ресурси без подальшої взаємодії.
- Зловживання буфером обміну та натисканнями клавіш: Деякі експлойти відстежують вміст буфера обміну, щоб перехоплювати скопійовані адреси гаманців або паролі.
Це не теоретичний сценарій. У грудні 2025 року Trust Wallet підтверджений інцидент безпеки, пов'язаний з розширенням Chrome версії 2.68, під час якого шкідливий код проходив через збережені гаманці, ініціював запити мнемонічних фраз, розшифровував їх за допомогою власного пароля користувача та надсилав на контрольований зловмисником сервер. Було витрачено приблизно 7 мільйонів доларів, включаючи близько 3 мільйонів доларів у біткоїнах та понад 3 мільйони доларів в Ethereum.
Відкрийте для себе перспективні проекти...
Перспективні проекти...
(Реклама)
Розслідувач блокчейну ZachXBT підтвердив сотні жертв, а викрадені кошти були спрямовані через ChangeNOW, FixedFloat та KuCoin для відмивання.
Це не перший випадок, коли Chrome стикається з проблемами безпеки
У вересні 2025 року Google виправлено Уразливість нульового дня в Chrome, відстежена як CVE-2025-10585, що призводить до плутанини з типами в V8, движку JavaScript Chrome. Уразливість, що призводить до плутанини з типами, означає, що браузер може неправильно обробляти об'єкти в пам'яті, відкриваючи шлях для виконання коду. Google на той час підтвердив, що цей недолік активно використовувався до випуску патча.
Той цикл виправлень відбувався за тією ж схемою, що й поточний: недолік на рівні пам'яті, активна експлуатація в реальних умовах та швидке виправлення для стабільного каналу.
Експлойт "DarkSword" для iOS додає другий фронт
Окремо Binance випущений приблизно в той самий період було опубліковано сповіщення безпеки для користувачів iOS. Apple виявила критичний ланцюжок експлойтів під назвою «DarkSword», що вражав версії iOS з 18.4 по 18.7.
На відміну від атак на основі браузера, DarkSword — це вразливість системного рівня, яка може спрацьовувати автоматично без будь-якої взаємодії з користувачем під час відвідування скомпрометованого веб-сайту. Вона може витягувати конфіденційні дані, включаючи інформацію про криптогаманці, та видаляти власні сліди після виконання, що ускладнює її виявлення після факту.
Що користувачі криптовалюти повинні зробити прямо зараз
Вразливості браузера не є чимось новим, але наслідки для користувачів криптовалют є більш прямими, ніж для пересічного користувача Інтернету. Скомпрометований сеанс браузера може призвести до підписаних транзакцій, крадіжки схвалень та виснаження гаманців, навіть коли базові активи безпечно зберігаються в блокчейні.
Безпосередні кроки прості:
- Оновіть Google Chrome до останньої версії в налаштуваннях браузера.
- Перевірте, чи всі розширення гаманців, включаючи MetaMask, Rabby та Phantom, використовують свої найновіші версії.
- Уникайте взаємодії з неочікуваними запитами гаманця, запитами на повторне підключення або сповіщеннями про заявки на активи
- Користувачам iOS слід оновити систему до останньої версії, щоб вирішити проблему з експлойтом DarkSword.
Основна думка Гільємета залишається актуальною незалежно від того, яка вразливість потрапляє в заголовки газет цього тижня. Браузер – це вороже середовище для фінансових таємниць. Для користувачів, які керують значними криптовалютними активами лише за допомогою розширень браузера, варто переглянути цей розрахунок ризику.
Ресурси
Технічний директор Ledger Чарльз Гійме на XОпубліковано 21 березня
Довіртеся гаманцю на XОпубліковано 26 грудня
Звіт Cyber PressОновлення Google Chrome виправляє 26 недоліків безпеки, включаючи вразливості RCE
Звіт The Hacker News: Google виправляє нульовий день CVE-2025-10585 у Chrome, оскільки активний експлойт V8 загрожує мільйонам користувачів.
Поширені запитання
Чи захищає оновлення Chrome розширення мого криптогаманця?
Оновлення Chrome виправляє основні вразливості браузера, що усуває поверхню атаки, на яку покладаються ці експлойти. Однак самі розширення можуть нести окремі ризики, як показав інцидент Trust Wallet у грудні 2025 року. Необхідно оновлювати як Chrome, так і окремі розширення.
Що таке вразливість типу «використання після звільнення» у браузері?
Це помилка пам'яті, яка виникає, коли програма продовжує звертатися до пам'яті, яку вона вже звільнила. Зловмисники можуть використовувати це для запису контрольованих даних у цей звільнений простір пам'яті та запуску виконання коду, часто без свідомого порушення користувачем своїх дій.
Чи варто користувачам апаратних гаманців турбуватися про ці вразливості Chrome?
Апаратні гаманці, такі як Ledger, зберігають закриті ключі офлайн і вимагають фізичного підтвердження транзакцій. Експлойт браузера не може безпосередньо витягувати ключі з апаратного пристрою. Однак підроблені запити гаманців та шкідливі запити на транзакції все ще можуть з'являтися в інтерфейсі браузера, тому попередження Гільємета стосується навіть користувачів апаратних гаманців, які підключаються через браузер.
відмова
Застереження: Погляди, висловлені в цій статті, не обов'язково відображають погляди BSCN. Інформація, надана в цій статті, призначена лише для освітніх та розважальних цілей і не повинна тлумачитися як інвестиційна порада чи порада будь-якого роду. BSCN не несе відповідальності за будь-які інвестиційні рішення, прийняті на основі інформації, наданої в цій статті. Якщо ви вважаєте, що статтю слід виправити, зверніться до команди BSCN електронною поштою. [захищено електронною поштою].
автор
Soumen DattaСоумен займається криптодослідженням з 2020 року та має ступінь магістра фізики. Його статті та дослідження публікувалися в таких виданнях, як CryptoSlate та DailyCoin, а також BSCN. Його сфери діяльності включають Bitcoin, DeFi та перспективні альткоїни, такі як Ethereum, Solana, XRP та Chainlink. Він поєднує аналітичну глибину з журналістською ясністю, щоб надавати корисну інформацію як новачкам, так і досвідченим читачам криптовалют.
(Реклама)
Останні новини
0 год.: 26 хв. тому
Bitwise запускає ETF Avalanche на NYSE зі стейкінгом
2 год.: 26 хв. тому
Мережа BNB спалює понад 1 мільярд доларів BNB у 35-му квартальному спалюванні токенів
15 квітня 2026 року
Stellar XLM отримує сумісний євростейблкоїн
15 квітня 2026 року
Лише 30% шансів на прийняття Закону CLARITY цього року, каже експерт з питань політики
15 квітня 2026 року
Провідна торгова платформа Японії тепер підтримує платежі XRP: ось що це насправді означає
15 квітня 2026 року
Chainlink публікує дані про шість акцій, що охоплюють ринкову капіталізацію в розмірі 2 трлн євро.
15 квітня 2026 року
Ether.fi розмістить 3 мільярди доларів у ETH на торговельному майданчику валідаторів ETHGas
14 квітня 2026 року
Аналіз: Новий біткойн-ETF від Morgan Stanley
(Реклама)
Останні новини про криптовалюту
Будьте в курсі останніх новин та подій у світі криптовалют
