Обзор инцидента
26 декабря 2025 года поступили сообщения о массовых несанкционированных выводах из расширения Trust Wallet для Chrome, версии 2.68. В течение нескольких часов после обычного обновления злоумышленники внедрили вредоносный код в расширение, который тихо захватывал сид-фразы и приватные ключи. Жертвы сообщали о резком выводе средств на нескольких блокчейнах, предварительный анализ в блокчейне показывал потери около 7 миллионов долларов.
Вектор атаки и временная шкала
- 24 декабря 2025 г.: версия 2.68 выпущена в Chrome Web Store.
- 26 декабря 2025, 00:15 UTC: блокчейн-сыщик ZachXBT уведомляет сообщество после обнаружения быстрого перемещения средств с различных кошельков.
- 26 декабря 2025, 02:00 UTC: PeckShield подтверждает выведение более 6 миллионов долларов, примерно 40% украденных активов отмываются через централизованные биржи.
- 26 декабря 2025, 04:30 UTC: Trust Wallet выпустила предупреждение об отключении версии 2.68 и обновлении до исправленной версии 2.69.
- 26 декабря 2025, 07:42 UTC: Trust Wallet подтверждает общие убытки около 7 миллионов долларов и обязуется полностью компенсировать пользователей.
Технический анализ
Злоумышленники внедрили бэкдор цепочки поставок путём внедрения инструментирования PostHog JS в ядро скриптов расширения. Это позволило в реальном времени выводить расшифрованные сид-фразы и материалы приватных ключей на вредоносную конечную точку. Кластеризация по цепочке показывает, что украденные активы были распределены между Bitcoin, Ethereum, Solana и другими токенами, совместимыми с EVM, а выручка агрегировалась в небольшой набор адресов вывода перед распределением на биржи для конвертации в фиат.
Меры по снижению ущерба и реагированию
Trust Wallet выпустила версию 2.69, которая устранила вредоносный код и обновила критические подписи, используемые в обновлениях расширения. Пострадавшим пользователям рекомендуется отозвать разрешения расширения, перевести оставшиеся активы на новые кошельки и включить двухфакторную аутентификацию там, где она доступна. Основатель Binance Чанпэн Чжао (CZ) публично гарантировал возмещение в рамках фонда SAFU. Независимые компании по кибербезопасности проводят аудит кодовой базы и следят за остаточными уязвимостями.
Более широкие последствия
Этот инцидент подчеркивает возросший риск, связанный с расширениями кошельков для браузера. В отличие от аппаратных или полностью автономных настольных клиентов, такие расширения работают в рамках безопасности самого браузера, что увеличивает их поверхность атаки. Эксперты рекомендуют использовать аппаратные кошельки или решения по абстракции учетной записи, которые обеспечивают задержку транзакций и требуют явного подтверждения пользователя для изменений на уровне кода.
Ключевые выводы
- Компрометация цепочки поставок может напрямую внедрять вредоносный код в легитимные обновления программного обеспечения.
- Быстрые оповещения и выпуск патчей, вместе с публичными гарантиями компенсации, имеют решающее значение для минимизации ущерба.
- Среды браузерных расширений остаются уязвимыми; пользователям следует рассмотреть аппаратные кошельки или решения с мультиподписью для крупных сумм хранения.
Комментарии (0)