Криптовалютный скандал: Взлом расширения Trust Wallet привел к потере $7 миллионов

Масштабная атака на пользователей криптокошелька

Пользователи популярного некастодиального криптокошелька Trust Wallet понесли значительные финансовые потери — общая сумма украденных средств оценивается примерно в 7 миллионов долларов США. Инцидент произошел из-за уязвимости, обнаруженной в одном из недавних обновлений браузерного расширения кошелька для Google Chrome. Первые тревожные сообщения от клиентов, обнаруживших мгновенное списание своих активов, начали поступать в конце декабря, что спровоцировало немедленную реакцию со стороны разработчиков и основателя компании.

Атака затронула только конкретную версию программного обеспечения — расширение Trust Wallet версии 2.68, выпущенное 24 декабря. Сообщается, что от инцидента пострадали сотни адресов, у которых средства были переведены на неизвестные злоумышленникам кошельки. Важно, что, по заверениям команды, мобильные приложения и другие версии расширений остались абсолютно безопасными, что позволило ограничить круг пострадавших.

Технические детали компрометации

Следователи в сфере блокчейн-безопасности, включая известного аналитика ZachXBT, обратили внимание на то, что массовые списания произошли практически одновременно и совпали по времени с выходом упомянутого обновления. Это навело на мысль о возможной атаке на цепочку поставок (supply-chain attack) или компрометации самого релиза.

Предварительный анализ показал, что вредоносный код был внедрен непосредственно в исходники версии 2.68. При вводе пользователем своей секретной seed-фразы для импорта или входа в кошелек, этот код перехватывал данные и отправлял их на внешний, контролируемый злоумышленниками сервер (api.metrics-trustwalletcom).

Позднее появились более конкретные данные от специалистов по информационной безопасности. В частности, было установлено, что злоумышленники могли использовать утекший API-ключ для Chrome Web Store, что позволило им выпустить вредоносную версию 2.68 в обход стандартных процедур проверки. Домен, используемый для кражи данных, был зарегистрирован незадолго до инцидента, что также указывает на высокую степень подготовки преступников. Вредоносный код, по некоторым данным, маскировался под легитимную библиотеку аналитики PostHog, которая была перенаправлена на сервер мошенников.

Реакция разработчиков и обещание компенсации

Команда Trust Wallet оперативно отреагировала на первые сигналы об угрозе. В официальном заявлении в социальной сети X компания подтвердила факт инцидента и настоятельно порекомендовала всем пользователям немедленно отключить и удалить скомпрометированную версию 2.68, а затем установить безопасное обновление до версии 2.69 через официальный магазин Chrome Web Store.

Ключевой момент в этой истории — заявление основателя Binance и владельца Trust Wallet, Чанпэна Чжао. Он подтвердил общую сумму потерь в размере около $7 млн и пообещал полное возмещение убытков всем пострадавшим клиентам. Пострадавшим пользователям было предложено обратиться в службу технической поддержки кошелька для верификации и последующей компенсации.

Несмотря на быстрое реагирование и заверения в компенсации, сам факт, что вредоносный код попал в официальное обновление, остается предметом внутреннего расследования. Команда пытается выяснить, каким именно путем злоумышленникам удалось распространить скомпрометированный релиз.

Уроки для криптоиндустрии

Данный инцидент с Trust Wallet — крупным и известным игроком рынка — стал очередным тревожным напоминанием о высоких рисках, связанных с хранением цифровых активов и доверием к инфраструктурным продуктам, особенно к их браузерным расширениям. В криптосообществе уже давно обсуждается, что такие плагины могут представлять большую угрозу, чем мобильные приложения, из-за их большей подверженности атакам на цепочку поставок и прямого взаимодействия с веб-контентом.

Происшествие разворачивается на фоне общего роста киберпреступности в криптосекторе. По данным аналитических компаний, совокупный ущерб от кибератак в отрасли в текущем году уже превысил несколько миллиардов долларов. Этот случай, когда миллионы долларов были выведены через легитимное обновление, подчеркивает критическую необходимость постоянного аудита кода и использования аппаратных кошельков для хранения крупных сумм, независимо от репутации сервиса.