#钱包安全漏洞 Недавно Trust Wallet взлетел на скандале с кражей в размере 6 миллионов долларов США. Я внимательно изучил анализ SlowMist — проблема заключалась в том, что браузерное расширение версии 2.68 содержало встроенный сборщик данных PostHog JS для сбора информации о пользователях. И самое обидное, что в исправленной версии этот компонент так и не был полностью удален.

Это напомнило мне о уязвимости "Demonic" двухлетней давности, когда люди уже сталкивались с подобными проблемами. Сейчас проблемы становятся все более скрытыми: это уже не простые ошибки кода, а скрытый сбор данных кошельков в фоновом режиме без вашего ведома.

Я недавно сформулировал для себя такую линию защиты — если с вашим кошельком что-то случилось, категорически не работайте онлайн. Экспортируйте сид-фразу в автономном режиме, а затем переводите активы. Иначе хакеры могут украсть всё в момент открытия вами кошелька. Кроме того, после резервной копии сид-фразы сначала выводите активы, а потом обновляйте — если сделать наоборот, риск становится очень высоким.

Есть ещё один легко упускаемый момент: в большинстве случаев краж виноват не сам багг расширения, а то, что пользователи скачивают поддельные версии или попадаются на фишинг. Даже MetaMask и Phantom подвергались атакам, и магазин Firefox на какое-то время был скомпрометирован. Правило простое — загружайте только из официального Chrome Web Store, все остальные источники полностью исключены.

Долго жить в блокчейне — значит быть на шаг впереди других, особенно когда речь идёт о безопасности активов, где ошибки не допускают экспериментов.