Взлом расширения Trust Wallet на 7 миллионов долларов: все, что вам нужно знать.

Trust Wallet подтвердил Сообщается, что вредоносное обновление официального расширения для браузера Chrome привело к краже около 7 миллионов долларов пользовательских средств. Взлом затронул только одну версию расширения, версию 2.68, и заключался в краже сид-фраз кошельков с помощью встроенного вредоносного кода. Согласно сообщениям, пользователи мобильных устройств и других версий браузеров не пострадали.

Что произошло во время взлома расширения Trust Wallet?

Инцидент начался 24 декабря 2025 года, когда Trust Wallet выпустил версию 2.68.0 своего расширения для Chrome. Сначала пользователи сообщали о единичных случаях потери средств. Кошельки опустошались вскоре после доступа к ним или импорта через расширение. То, что выглядело как единичные случаи, быстро указало на более масштабную проблему.

В Рождество исследователь блокчейна ЗакXBT обратился Он публично предупредил об этом, пока украденные средства еще перемещались по блокчейну. Он связал утечки средств из кошелька напрямую с обновлением v2.68. Его анализ помог установить, что это была не ошибка пользователя или фишинг, а скомпрометированное расширение для браузера.

26 декабря Trust Wallet подтвердил утечку данных. Компания заявила, что затронута только версия 2.68, и призвала пользователей немедленно обновиться до версии 2.69. Согласно информации в Chrome Web Store, расширение для Chrome насчитывает около миллиона пользователей.

Позже Trust Wallet подтвердил, что было украдено около 7 миллионов долларов цифровых активов в нескольких блокчейнах.

Какие пользователи пострадали?

Риску подвергались только пользователи, которые установили или вошли в расширение Trust Wallet для Chrome версии 2.68 до 26 декабря, 11:00 UTC.

Согласно данным Trust Wallet и исследователей в области безопасности:

• Пользователей мобильного приложения это не коснулось.
• Другие версии расширений для браузеров не были затронуты.
• Доступ к кошелькам, полученный через версию 2.68, может быть полностью скомпрометирован.

Во многих случаях кошельки опустошались в течение нескольких минут после разблокировки расширения или импорта сид-фразы. Пострадали сотни кошельков, включая адреса Bitcoin, Ethereum и Solana.

Генеральный директор Trust Wallet Эовин Чен подтвердила, что пользователи, вошедшие в систему в течение указанного периода, должны считать, что их кошельки были скомпрометированы, и создать новые.

Как работал вредоносный код?

По данным компании по безопасности блокчейна SlowMistАтака не была вызвана вредоносной библиотекой стороннего разработчика. Вместо этого злоумышленник напрямую модифицировал собственный код расширения Trust Wallet. Вредоносная логика была внедрена в аналитический компонент расширения.

Откройте для себя перспективные проекты...

Перспективные проекты...

(Рекламное объявление)

Продолжение статьи...

Вот как это работало:

• Код перебирал все кошельки, хранящиеся в расширении.
• Это инициировало запрос мнемонической фразы для каждого кошелька.
• Когда пользователи разблокировали кошелек, зашифрованная сид-фраза была расшифрована.
• Расшифрованная мнемоническая фраза была отправлена ​​на сервер, контролируемый злоумышленником.

Данные были украдены на api.metrics-trustwallet[.]com. Домен был зарегистрирован 8 декабря 2025 года. Запросы к серверу начались 21 декабря, за несколько дней до публикации вредоносного обновления.

Злоумышленник использовал легитимную библиотеку аналитики с открытым исходным кодом под названием posthog-js в качестве прикрытия. Вместо отправки данных на правильную точку доступа аналитики, трафик перенаправлялся на сервер злоумышленника.

Компания SlowMist заявила, что это был внутренний компромисс в кодовой базе, а не отравленная зависимость.

Как произошло распространение взломанного расширения?

В ходе внутреннего расследования Trust Wallet выявили критическое нарушение в процессе выпуска приложения. По словам генерального директора Эовин Чен, для публикации вредоносной версии был использован утекший ключ API Chrome Web Store.

Взлом приложения был осуществлен 24 декабря в 12:32 по UTC. Это позволило обойти обычные внутренние проверки Trust Wallet.

Это свидетельствует о том, что злоумышленник не использовал уязвимости пользователей напрямую. Вместо этого он использовал уязвимости инфраструктуры распространения. Подобные атаки на цепочку поставок сложнее обнаружить, поскольку программное обеспечение выглядит официальным и заслуживающим доверия.

Сколько денег было украдено и куда они делись?

По оценкам Trust Wallet и независимых исследователей, общие потери составляют около 7 миллионов долларов.

В разбивку по известным украденным активам входят следующие сведения:

• Около 3 миллионов долларов в Bitcoin
• Более 3 миллионов долларов в Эфириум
• Меньшие количества в Solana и другие активы

По оценкам  клюв А благодаря ZachXBT украденные средства были быстро отмыты.

Ключевые движения включают в себя:

• Около 3.3 миллиона долларов было отправлено в ChangeNOW.
• Около 340 000 долларов было отправлено в FixedFloat.
• Примерно 447 000 долларов США было отправлено на KuCoin.

Через централизованные биржи прошло более 4 миллионов долларов. По последним данным, около 2.8 миллионов долларов оставались в кошельках, контролируемых злоумышленником.

Эта схема повторяет другие случаи компрометации кошельков, когда злоумышленники используют сервисы мгновенного обмена и мосты для снижения возможности отслеживания.

План реагирования и компенсации Trust Wallet

Trust Wallet выпустил быстрое исправление. 25 декабря была выпущена версия 2.69, удаляющая вредоносный код. Пользователям настоятельно рекомендовалось немедленно отключить версию 2.68.

Компания также запустила официальную программу вознаграждения.

Пострадавшие пользователи могут подавать заявки через [указать способ подачи заявок]. Официальная форма поддержки на сайте Trust Wallet.Для этого процесса необходимо:

• Email
• Страна проживания
• Взломанные адреса кошельков
• Злоумышленник получает адреса
• Хэши соответствующих транзакций

Компания Trust Wallet заявила, что каждая заявка будет проверена индивидуально.

«Мы работаем круглосуточно над завершением деталей процесса выплаты компенсаций, и каждый случай требует тщательной проверки для обеспечения точности и безопасности», — заявила компания.

Чанпэн Чжао, соучредитель и бывший генеральный директор Binance, которая приобрела Trust Wallet в 2018 году, подтвердил, что убытки будут покрыты.

Почему этот взлом важен для безопасности кошелька

Этот инцидент подчеркивает повторяющийся риск в криптовалютной сфере. Даже некастодиальные кошельки зависят от каналов распространения программного обеспечения. Когда эти каналы выходят из строя, пользователи могут потерять все.

Взлом Trust Wallet является частью более широкой тенденции, наблюдаемой в отрасли. Ранее в этом году Coinbase сообщила, что возместит более 400 миллионов долларов после отдельного взлома, связанного с подкупом сотрудников службы поддержки в Индии.

Разные методы атаки, один и тот же результат. Предположения о доверии рушатся на самых узких местах.

Для пользователей это укрепляет основные правила безопасности:

• Рассматривайте расширения для браузера как программное обеспечение с высоким риском.
• Обновляйте систему сразу после выхода исправлений.
• Переведите средства, если существует риск компрометации электронного кошелька.
• Никогда не используйте повторно открытые сид-фразы.

Для поставщиков кошельков урок заключается в обеспечении безопасности при выпуске. Ключи API, конвейеры сборки и учетные данные хранилищ теперь являются основными целями атак.

Заключение

Взлом расширения Trust Wallet на сумму 7 миллионов долларов стал результатом компрометации цепочки поставок, а не ошибки пользователя. Вредоносный код, внедренный в версию 2.68 расширения для Chrome, собирал сид-фразы и опустошал кошельки в нескольких блокчейнах. 

В ответ на инцидент Rust Wallet удалил затронутую версию, выпустил исправление и обязался полностью возместить ущерб. Этот инцидент подчеркивает, насколько важным элементом кибербезопасности остаются расширения для браузеров, и почему как пользователи, так и разработчики должны относиться к безопасности распространения так же серьезно, как и к управлению закрытыми ключами.

Ресурсы

1. Trust Wallet на X: Объявление от 26 декабря

2. Сообщение от Медленного Тумана на XСообщение об уязвимости в Trust Wallet

3. Сообщение PeckShield на X: Эксплойт Trust Wallet