#钱包安全漏洞 Увидев этот огромный провал Trust Wallet на 6 миллионов долларов, у меня возникло ощущение тяжести. Не потому, что дело настолько велико, а потому, что эта модель слишком знакома.

Вернувшись к 2022 году, я лично наблюдал за несколькими критическими моментами безопасности плагин-кошельков. Тогда уязвимость Demonic прошла по MetaMask и Phantom, приватные ключи хранились в памяти без защиты, я помню, как многие в чатах спрашивали, стоит ли продолжать использовать. Позже Trust Wallet сам обнаружил уязвимость в WebAssembly, хотя ущерб составлял всего 17 тысяч долларов, но их отношение к компенсациям вызвало доверие. Спустя три года, рассматривая случай с версией 2.68, создается ощущение, что история повторяется в каком-то измерении.

Но при внимательном анализе данных становится ясно, что суть проблемы тихо меняется. За эти годы количество прямых уязвимостей у официальных плагинов уменьшилось, настоящие катастрофы создают не сами коды, а поддельные приложения и фишинговые схемы. MetaMask с 2023 года по настоящее время не обнаружил прямых уязвимостей, но случаи краж пользователей резко возросли — причина в поддельных приложениях и фишинговых атаках. Взрыв в магазине Firefox — лучшее подтверждение этого.

Я видел слишком много проектов, которые перешли от технически надежных линий защиты к падению на рынке. Доля Trust Wallet — 35%, 17 миллионов активных пользователей в месяц — этого объема достаточно, чтобы стать мишенью. Хакеры стали умнее: они больше не борются с официальным кодом, а работают через цепочку поставок и поведение пользователей. Как защищать официальный кошелек? Так же, как и подделки: как отправлять предупреждения о безопасности — так же, как и фишинговые ссылки, — точно и целенаправленно. Это гонка вооружений, в которой силы не равны.

Обратным взглядом, начиная с системы бенефитов за уязвимости в 2022 году и до коллективных исков в 2025-м, вся экосистема меняется. Некоторые проекты научились быстро компенсировать и открыто общаться, другие — обвиняют друг друга в ответственности в судах. Фраза Phantom «независимый кошелек, ответственность — на пользователе» — в буквальном смысле верна, но если пользователь не может отличить подделку от оригинала, даже самая логичная аргументация не сможет удержать доверие.

Что касается текущего момента, мой совет очень прост: официальный канал в Chrome Web Store — единственная надежная крепость. Но проблема в том, что те, кто понимает это, зачастую пережили медвежий рынок 2017 года, а защищать нужно тех, кто только входит. Каждое подобное событие толкает все больше людей к доверительным биржам, что и есть, по сути, первоначальное решение этой проблемы. Иногда история идет по настолько странному сценарию.