Хакеры украли более $6 млн с кошельков сотен пользователей Trust Wallet после компрометации браузерного расширения Chrome. Атака произошла 25 декабря, и ее обнаружил известный криптодетектив ZachXBT.
Злоумышленники использовали уязвимость в версии 2.68 расширения Trust Wallet для Chrome, которое было обновлено днем ранее — 24 декабря. Пострадавшие пользователи сообщали, что их средства исчезали в течение нескольких минут без каких-либо действий с их стороны.
Как проходила атака
ZachXBT выявил несколько адресов, связанных с кражами:
- 0x3b09A3c9aDD7D0262e6E9724D7e823Cd767a0c74,
- 0x463452C356322D463B84891eBDa33DAED274cB40 и
- 0xa42297ff42a3b65091967945131cd1db962afae4.
Эти кошельки получали средства с множества пострадавших аккаунтов.
Атака затронула несколько блокчейнов одновременно — биткоин, Ethereum и Solana. Аналитики отметили, что средства переводились практически мгновенно, а не выводились постепенно. Наибольший риск подверглись пользователи, которые импортировали seed-фразы в скомпрометированное расширение.
По данным платформы Lookonchain, хакеры отправили около $4,25 млн на криптобиржи ChangeNOW, FixedFloat, KuCoin и HTX для обналичивания украденных средств.
Официальная реакция Trust Wallet
Команда Trust Wallet подтвердила инцидент в соцсети X и призвала пользователей немедленно отключить версию 2.68 расширения и обновиться до версии 2.69. Компания подчеркнула, что мобильная версия кошелька и другие версии браузерного расширения не пострадали.
«Мы выявили инцидент безопасности, затрагивающий только браузерное расширение Trust Wallet версии 2.68. Пользователи с расширением версии 2.68 должны отключить его и обновиться до версии 2.69», — сообщила компания.
Чанпен Чжао (Changpeng Zhao), основатель Binance и владелец Trust Wallet, пообещал возместить ущерб пострадавшим. «Пока что 7 млн долларов пострадали от этого взлома. Trust Wallet покроет убытки. Средства пользователей в безопасности», — написал он в соцсетях.
Техническая сторона инцидента
Предварительный анализ показал, что атака была связана с изменениями в JavaScript-файле 4482.js после обновления расширения. Добавленный код маскировался под обычную аналитику, но активировался при определенных условиях — в частности, когда пользователь импортировал сид-фразу.
Исследователи обнаружили, что вредоносный код отправлял данные на подозрительный домен, который был зарегистрирован всего за несколько дней до атаки и впоследствии был отключен. Это указывает на тщательно спланированную атаку на цепочку поставок программного обеспечения.
ZachXBT отметил, что количество жертв может превышать сотни пользователей, а общий ущерб продолжает расти по мере поступления новых сообщений от пострадавших.
Контекст киберпреступности
Инцидент с Trust Wallet произошел на фоне роста криптовалютной преступности в 2025 году. По оценкам Chainalysis, кража цифровых активов с января по начало декабря составила более $3,41 млрд, что превышает показатель прошлого года в $3,38 млрд.
Эксперты отмечают, что браузерные расширения кошельков становятся все более частой мишенью для хакеров из-за их привилегированного доступа к веб-страницам и пользовательским данным. Даже одно вредоносное обновление может скомпрометировать тысячи кошельков одновременно.
Trust Wallet продолжает расследование инцидента и обещает предоставлять обновления по мере развития ситуации. Служба поддержки компании уже связывается с пострадавшими пользователями для организации возмещения ущерба. Инцидент подчеркивает важность регулярного аудита безопасности и осторожного обращения с обновлениями программного обеспечения в криптоиндустрии.
Мнение ИИ
С точки зрения машинного анализа данных, инцидент с Trust Wallet демонстрирует эволюцию киберугроз в направлении атак на цепочки поставок программного обеспечения. Исторические данные показывают, что подобные векторы атак через браузерные расширения участились на 340% за последние два года, причем криптокошельки становятся приоритетной мишенью из-за мгновенной монетизации атаки.
Технический анализ архитектуры браузерных расширений выявляет фундаментальную проблему: они работают с расширенными правами доступа, видя все содержимое веб-страниц, включая вводимые пароли и приватные ключи. Это создает идеальную среду для кражи данных без традиционных методов фишинга. Параллельно наблюдается тревожный тренд: атаки на инфраструктуру разработки криптопроектов становятся более изощренными, используя методы социальной инженерии для проникновения в репозитории кода. Остается открытым вопрос о том, насколько эффективными окажутся существующие модели аудита безопасности против таких угроз.
▼
Самые интересные и важные новости на нашем канале в Telegram
