Пробиви в браузърните разширения на Trust Wallet изпразват 7 милиона долара от потребителите

Обзор на инцидента

На 26 декември 2025 г. се появиха доклади за масови неоторизирани тегления от разширението за Chrome на Trust Wallet, версия 2.68. В рамките на часове след рутинно обновяване нападателите внедриха злонамерен код в разширението, който безшумно прихващаше seed фрази и частни ключове. Жертви съобщиха за внезапно изчерпване на средства през множество вериги, като предварителният анализ на веригата сочи загуби от около 7 милиона долара.

Вектор на атаката и времева линия

• 24 декември 2025 г. Версия 2.68 е пусната чрез Chrome Web Store.
• 26 декември 2025 г., 00:15 UTC Детективът на блокчейн ZachXBT предупреждава общността, след като наблюдава бързи движения на средства от различни портфейли.
• 26 декември 2025 г., 02:00 UTC PeckShield потвърждава източване на над 6 милиона долара, като около 40% от откраднатите активи са измити чрез централизираните борси.
• 26 декември 2025 г., 04:30 UTC Trust Wallet публикува предупреждение за деактивиране на версия 2.68 и надграждане до поправената версия 2.69.
• 26 декември 2025 г., 07:42 UTC Trust Wallet потвърждава общи загуби от около 7 милиона долара и обещава пълно обезщетение на потребителите.

Технически анализ

Атакуващите внедриха бекдор през веригата за доставки, като инжектираха PostHog JS инструментариума в основните скриптове на разширението. Това позволи извличане в реално време на декриптирани seed фрази и частни ключове към злонамерена крайна точка. Кластеризацията по веригата показва, че откраднатите активи са били разпределени между Bitcoin, Ethereum, Solana и други EVM-съвместими токени, като приходите са агрегирани в малък набор от адреси за тегления преди разпределение към борсите за конвертиране в фиатни валути.

Управление на риска и реакция

Trust Wallet пусна версия 2.69, която премахна злонамерения код и промени критичните подписи, използвани в актуализациите на разширението. Засегнатите потребители бяха призовани да отмени разрешенията за разширението, да прехвърлят останалите активи към нови портфейли и да активират двуфакторна автентикация, където е налична. Основателят на Binance Changpeng Zhao (CZ) публично гарантира възстановяване по SAFU фонда. Независими фирми за сигурност преглеждат кодовата база и следят за налични уязвимости.

По-широки последствия

Този инцидент подчертава нарастващия риск около браузър-базираните разширения за портфейли. За разлика от хардуерните или напълно автономни настолни клиенти, браузърните разширения работят в сигурностния контекст на браузъра, което увеличава тяхната повърхност за атаки. Експертите препоръчват използването на хардуерни портфейли или решения за абстракция на акаунти, които налагат забавяния на транзакциите и изискват ясно потребителско одобрение за промени на ниво код.

Основни изводи

1. Компрометиране на веригата за доставки може да въведе злонамерен код директно в легитимни софтуерни актуализации.
2. Бързото предоставяне на предупреждения и пускането на пачове за актуализации, съчетано с публични гаранции за обезщетение, са критични за ограничаване на щетите.
3. Средата на браузърните разширения остава уязвима; потребителите трябва да обмислят хардуерни или мулти-подписни алтернативи за големи притежания.