Злом розширення Trust Wallet на 7 мільйонів доларів: все, що вам потрібно знати

Кошик довіри підтверджений що шкідливе оновлення офіційного розширення браузера Chrome призвело до крадіжки коштів користувачів приблизно на 7 мільйонів доларів. Витік торкнувся лише однієї версії розширення, версії 2.68, і включав крадіжку зловмисниками порожніх фраз гаманця за допомогою вбудованого шкідливого коду. Згідно з повідомленнями, мобільні користувачі та інші версії браузерів не постраждали.

Що сталося під час злому розширення Trust Wallet?

Інцидент розпочався 24 грудня 2025 року, коли Trust Wallet випустив версію 2.68.0 свого розширення для Chrome. Спочатку користувачі повідомляли про поодинокі втрати. Гаманці спустошувалися невдовзі після доступу до них або імпорту через розширення. Те, що здавалося поодинокими випадками, швидко вказало на ширшу проблему.

У день Різдва, дослідник мережі ZachXBT випущений публічне попередження, поки викрадені кошти все ще переміщувалися в мережі. Він безпосередньо пов'язав зливи гаманця з оновленням версії 2.68. Його аналіз допоміг встановити, що це була не помилка користувача чи фішинг, а скомпрометоване розширення браузера.

До 26 грудня Trust Wallet підтвердила порушення. Компанія заявила, що проблема торкнулася лише версії 2.68, і закликала користувачів негайно оновити її до версії 2.69. Згідно з даними в Chrome Web Store, розширення Chrome має близько мільйона користувачів.

Пізніше Trust Wallet підтвердив, що з кількох блокчейнів було викрадено приблизно 7 мільйонів доларів цифрових активів.

Які користувачі постраждали?

Під загрозою опинилися лише користувачі, які встановили або увійшли до розширення Trust Wallet для Chrome версії 2.68 до 26 грудня, 11:00 UTC.

За даними Trust Wallet та дослідників безпеки:

• Користувачі мобільних додатків не постраждали
• Інші версії розширень браузера не постраждали
• Гаманці, до яких було отримано доступ через версію 2.68, можуть бути повністю скомпрометовані

У багатьох випадках гаманці спустошувалися протягом кількох хвилин після розблокування розширення або імпорту основної фрази. Це торкнулося сотень гаманців, включаючи адреси Bitcoin, Ethereum та Solana.

Генеральний директор Trust Wallet Еовін Чен підтвердила, що користувачі, які увійшли в систему протягом ураженого вікна, повинні вважати, що їхні гаманці були викриті, та створити нові.

Як працював шкідливий код?

За інформацією фірми з безпеки блокчейн Повільний туман, атака не була спричинена шкідливою сторонньою бібліотекою. Натомість. Зловмисник безпосередньо змінив власний код розширення Trust Wallet. Шкідлива логіка була вбудована в аналітичний компонент розширення.

Відкрийте для себе перспективні проекти...

Перспективні проекти...

(Реклама)

Стаття продовжується...

Ось як це працювало:

• Код перебирав усі гаманці, що зберігаються в розширенні.
• Це викликало запит мнемонічною фразою для кожного гаманця
• Коли користувачі розблокували гаманець, зашифрована основне слово було розшифровано.
• Розшифровану мнемоніку було надіслано на сервер, контрольований зловмисником.

Дані було викрадено на api.metrics-trustwallet[.]com. Домен було зареєстровано 8 грудня 2025 року. Запити до сервера почали надходити 21 грудня, за кілька днів до публікації шкідливого оновлення.

Зловмисник використовував легітимну бібліотеку аналітики з відкритим кодом під назвою posthog-js як прикриття. Замість надсилання даних до правильної кінцевої точки аналітики, трафік перенаправлявся на сервер зловмисника.

SlowMist заявив, що це було внутрішнє компрометування кодової бази, а не пошкоджена залежність.

Як було опубліковано скомпрометоване розширення?

Внутрішнє розслідування Trust Wallet виявило критичний збій у процесі його випуску. За словами генерального директора Еовін Чен, для публікації шкідливої ​​версії було використано витік ключа API веб-магазину Chrome.

Скомпрометоване розширення було завантажено 24 грудня о 12:32 UTC. Це дозволило обійти звичайні внутрішні перевірки Trust Wallet.

Це показує, що зловмисник не експлуатував користувачів безпосередньо. Натомість він використовував інфраструктуру розподілу. Такі атаки на ланцюг поставок важче виявити, оскільки програмне забезпечення виглядає офіційним та надійним.

Скільки було вкрадено і куди поділися кошти?

Trust Wallet та незалежні дослідники оцінюють загальні збитки приблизно в 7 мільйонів доларів.

Розподіл відомих викрадених активів включає:

• Близько 3 мільйонів доларів Біткойн
• Понад 3 мільйони доларів США Ethereum
• Менші суми в Солана та інші активи

За оцінкою PeckShield та ZachXBT, викрадені кошти були швидко відмиті.

Ключові рухи включають:

• Близько 3.3 мільйона доларів надіслано до ChangeNOW
• Близько 340 000 доларів США надіслано до FixedFloat
• Приблизно 447 000 доларів США надіслано до KuCoin

Через централізовані біржі пройшло понад 4 мільйони доларів. Станом на останнє оновлення, на гаманцях, контрольованих зловмисником, залишалося близько 2.8 мільйона доларів.

Ця закономірність відображає інші випадки компрометації гаманців, коли зловмисники використовують сервіси миттєвого обміну та мости для зменшення можливості відстеження.

План реагування та компенсації Trust Wallet

Trust Wallet запропонував швидке виправлення. 25 грудня було випущено версію 2.69 для видалення шкідливого коду. Користувачам було рекомендовано негайно вимкнути версію 2.68.

Компанія також запустила офіційну програму компенсації.

Постраждалі користувачі можуть подавати заяви через офіційна форма підтримки на вебсайті Trust WalletПроцес вимагає:

• Адреса електронної пошти
• Країна проживання
• Скомпрометовані адреси гаманців
• Зловмисник отримує адреси
• Відповідні хеші транзакцій

Trust Wallet заявив, що кожна претензія буде перевірена індивідуально.

«Ми працюємо цілодобово над узгодженням деталей процесу компенсації, і кожен випадок вимагає ретельної перевірки для забезпечення точності та безпеки», – заявили в компанії.

Чанпен Чжао, співзасновник і колишній генеральний директор Binance, яка придбала Trust Wallet у 2018 році, підтвердив, що збитки будуть покриті.

Чому цей хак важливий для безпеки гаманця

Цей інцидент підкреслює повторюваний ризик у криптовалюті. Навіть некастодіальні гаманці залежать від каналів розповсюдження програмного забезпечення. Коли ці канали виходять з ладу, користувачі можуть втратити все.

Злом Trust Wallet повторює ширшу схему, що спостерігається в галузі. Раніше цього року Coinbase повідомила, що відшкодує понад 400 мільйонів доларів після окремого порушення, пов'язаного з підкупом персоналу служби підтримки в Індії.

Різні методи атаки, той самий результат. Припущення про довіру руйнуються на краях.

Для користувачів це підсилює основні правила безпеки:

• Ставтеся до розширень браузера як до програмного забезпечення високого ризику
• Оновлюйте негайно, коли виходять виправлення
• Переміщення коштів, якщо гаманець може бути скомпрометований
• Ніколи не повторюйте відкриті початкові фрази

Для постачальників гаманців урок стосується безпеки релізів. Ключі API, конвеєри збірки та облікові дані сховища тепер є основними цілями атак.

Висновок

Злом розширення Trust Wallet на суму 7 мільйонів доларів став результатом компрометації ланцюга поставок, а не помилки користувача. Шкідливий код, вбудований у версію 2.68 розширення Chrome, збирав порожні фрази та виснажував гаманці в кількох блокчейнах. 

Компанія rust Wallet відреагувала видаленням ураженої версії, випуском виправлення та зобов'язанням повністю відшкодувати збитки. Цей інцидент підкреслює, що розширення браузера залишаються критично важливою поверхнею атаки в криптовалюті, і чому як користувачі, так і розробники повинні ставитися до безпеки дистрибуції так само серйозно, як і до управління закритими ключами.

Ресурси

1. Довіртеся гаманцю на XОголошення від 26 грудня

2. Повідомлення Slowmist на XЗвіт про експлойт Trust Wallet

3. Публікація PeckShield на XПро експлойт Trust Wallet