#钱包安全风险与攻击事件 В ночь на Рождество, расширение браузера Trust Wallet версии 2.68 было скомпрометировано. Более 6 миллионов долларов активов были выведены за несколько часов, самый крупный кошелек потерял 3,5 миллиона долларов, и этот кошелек уже был неактивен год — хакеры даже не оставили в покое спящий кошелек.

После просмотра технического анализа от SlowMist я пришёл к выводу: это не обычное заражение сторонних пакетов, а атака профессионального уровня APT. Злоумышленники, вероятно, получили права на разработку или развертывание ещё 8 декабря, а затем прямо в коде внедрили бэкдор, используя такие легальные инструменты, как PostHog, чтобы тайно отправлять мнемонические фразы пользователей на вредоносные серверы.

Эта ситуация дала мне глубокий урок:

**Первое, расширения браузера для кошельков всегда — зона высокого риска.** Они подобны тому, как если бы вы держали приватный ключ на открытом месте: как только кто-то сможет контролировать код, всё ваше имущество под угрозой. Мой текущий принцип — расширения для просмотра баланса и взаимодействия с контрактами допустимы, но я категорически не использую их для долгосрочного хранения крупных сумм.

**Второе, номер версии не обманет.** Когда выходит новая версия, не стоит медлить, но и не стоит слепо обновляться. Официальная реакция Trust Wallet была достаточно быстрой: как только вышла версия 2.69, нужно было сразу обновляться. Многие пострадавшие использовали 2.68 — урок на крови.

**Третье, самое жестокое — даже если ваш кошелек спит два года, хакеры всё равно могут вскрыть ваш гроб.** Что это означает? Что меры безопасности — не разовая акция. Нужно регулярно проверять, обновлять и даже рассматривать миграцию.

Сейчас Trust Wallet запустил процесс компенсации, но это не главное. Главное — чтобы жить долго, нужно быть более осторожным, чем хакеры. Если вы всё ещё храните крупные суммы в расширениях браузера, сейчас самое время действовать.