25 декабря множество пользователей криптовалюты зафиксировали быстрые несанкционированные выводы средств из расширения Trust Wallet для браузера, что вызвало немедленное предупреждение сообщества. Начальные сообщения появились через исследователя по цепочке ZachXBT, который зафиксировал сотни скомпрометированных адресов на цепях, совместимых с EVM, а также в Bitcoin и Solana, в течение двух часов. Внезапный скачок заявленных потерь — первоначально оценённых более чем в 6 миллионов долларов — вызвал срочные предупреждения в Телеграм и X, призывавшие всех пользователей отозвать разрешения и вывести средства.
Исследователи сообщества быстро выявили версию расширения Trust Wallet для Chrome 2.68 как общий знаменатель. Расследование файлов JavaScript расширения выявило необъяснимые дополнения в «4482.js», которых не было в официальных примечаниях к выпуску. Подозрительные фрагменты кода, маскирующиеся под аналитические функции, на деле могли перехватывать seed‑фразы, отправлять их на metrics-trustwallet[.]com и затем автоматически опустошать кошельки при импорте фраз. Зловредная нагрузка активировалась только при событиях импорта кошельков, тем самым избегая раннего обнаружения.
Дальнейший анализ цепочки транзакций проследил более 6 миллионов долларов украденных активов, направленных через приватные миксеры и сервисы обфускации, что подчеркивает стремление злоумышленников быстро отмывать средства. Адреса жертв охватывали внутренние multisig‑аккаунты, крупные индивидуальные кошельки и мелких розничных трейдеров, что подчёркивает уязвимость браузерных кошельков к атакам по цепочке поставок. Также наблюдались peel‑транзакции через крупные миксеры, такие как Tornado Cash и Wasabi Wallet, что указывает на скоординированные стратегии отмывания.
После публичной огласки Trust Wallet выпустил официальный сбор предупреждения, подтверждающий инцидент безопасности, затронувший только расширение версии 2.68. В уведомлении рекомендовалось немедленно отключить расширение, перейти на версию 2.69 в официальном Chrome Web Store и не импортировать seed‑фразы в окружения браузера. Мобильные пользователи и пользователи, не использующие Chrome, оказались не затронуты. Trust Wallet подчеркнул, что нарушение не затронуло его основное мобильное приложение или смарт‑контракты на цепочке.
Инцидент вновь разожг обсуждение рисков само-ведомого владения и операционной безопасности. Эксперты отметили, что среды управления ключами не менее критичны, чем криптографические протоколы, и что целостность цепочки поставок должна обеспечиваться как поставщиками кошельков, так и браузерными маркетплейсами. В качестве немедленной меры предосторожности исследователи по безопасности порекомендовали пострадавшим перенести оставшиеся активы на новые кошельки, созданные на безопасных, изолированных устройствах, отозвать все разрешения dApp и следить за активностью сети на предмет подозрительных взаимодействий.
После инцидента усилились призывы к стандартизированной проверке расширений, прозрачным журналам изменений и независимым аудитам. Компании по безопасности блокчейна и группы аудиторов с открытым исходным кодом сотрудничают над инструментами для обнаружения аномального клиентского кода в популярных расширениях кошельков. На данный момент инцидент Trust Wallet служит ярким примером того, как уязвимости в цепочке поставок могут подорвать обещание автономного контроля над активами, призывая сообщество уделять приоритетное внимание безопасности «от начала до конца» в дизайне и распространении кошельков.
Комментарии (0)