Взлом расширения Trust Wallet для Chrome: немедленные действия, необходимые после обнаружения сбора приватных ключей

Trust Wallet выпустил экстренное предупреждение для пользователей после обнаружения критической уязвимости в версии расширения Chrome 2.68. Уязвимость позволяла злоумышленникам собирать приватные ключи кошельков и фразы восстановления у заражённых пользователей. Компания быстро выпустила версию 2.69 25 декабря 2025 года для устранения уязвимости после того, как в течение нескольких часов после релиза 24 декабря начали появляться сообщения о сливе средств с кошельков.

Объем утечки

Ранние исследования показывают, что примерно $7 миллион средств пользователей был скомпрометирован на нескольких блокчейн-сетях. В списке в Chrome Web Store указано, что уязвимое расширение имело около 1 000 000 активных пользователей на момент установки, хотя реальная степень воздействия зависит от того, сколько пользователей активно импортировали или вводили чувствительную информацию во время работы с уязвимой версией.

По данным специалистов по безопасности, вредоносный код был встроен в зашифрованный JavaScript внутри сборки 2.68. В частности, подозрительная логика в файле, обозначенном как “4482.js”, содержала инструкции, предназначенные для передачи секретов кошелька на внешние серверы. Вектор атаки был ориентирован на определённое поведение пользователя: импорт или ввод фразы восстановления после установки уязвимой версии создавал окно уязвимости, в течение которого вредоносный скрипт мог перехватывать и выводить эти чувствительные данные.

Что должны делать пользователи немедленно

Процесс устранения уязвимости значительно зависит от действий пользователя. Простое обновление до версии 2.69 удаляет вредоносный код в будущем, но НЕ защищает активы, если фраза восстановления уже была скомпрометирована во время окна уязвимости 2.68.

Если вы импортировали или вводили свою фразу восстановления во время работы v2.68: считайте, что эта фраза навсегда скомпрометирована. Ваши дальнейшие шаги по восстановлению включают:

• Перевод всех активов на новые кошельки, созданные с помощью новой фразы восстановления
• Отзыв всех разрешений токенов на затронутых цепочках, чтобы предотвратить дальнейший слив средств
• Обработку любого устройства, которое имело дело с скомпрометированной фразой, как потенциально небезопасного, пока проблема полностью не будет устранена или устройство не будет заменено
• Учет операционных затрат: перемещение средств между цепочками, переориентация в приложениях и управление расходами на газ в процессе восстановления

Если вы использовали только существующие кошельки без ввода новых фраз: отключение версии 2.68 и обновление до 2.69 из официального Chrome Web Store должно решить немедленную угрозу. Следите за своими аккаунтами на предмет подозрительной активности или несанкционированных транзакций.

Руководство Trust Wallet особо подчеркнуло, что мобильные пользователи и другие версии расширений остались неуязвимыми — экстренное предупреждение касается исключительно пользователей Chrome-расширения, которые работали с фразами восстановления в уязвимый период.

Вторичные угрозы: мошеннические “исправления”

Исследователи отметили вторую волну атак: мошеннические домены восстановления, имитирующие процесс устранения уязвимости Trust Wallet. Эти мошеннические сайты вынуждают паникующих пользователей добровольно предоставлять свои фразы восстановления под предлогом восстановления аккаунта. Проверяйте любые инструкции по восстановлению только через официальные каналы Trust Wallet и проверенные аккаунты в соцсетях. Мошенники, вероятно, усилят активность по мере распространения новости.

Общая картина: уязвимости браузерных расширений

Этот инцидент выявил фундаментальные слабости в том, как расширения браузеров обрабатывают криптографические секреты на компьютерах общего назначения. Расширения работают на чувствительной грани между веб-приложениями и потоками подписания транзакций, что даёт злоумышленникам прямой доступ к тем же входным данным, которые пользователи используют для подтверждения транзакций. Академические исследования безопасности Chrome Web Store показывают, что скомпрометированные расширения могут обходить автоматические системы обнаружения, а эффективность их обнаружения снижается по мере развития тактик злоумышленников.

Инцидент подтверждает необходимость усиления мер безопасности: воспроизводимых сборок для проверки целостности кода, механизмов разделения ключей для подписи и более ясных процедур отката при необходимости критических исправлений.

Реакция рынка и оценка потерь

Токен Trust Wallet (TWT) показал умеренные колебания после раскрытия предупреждения, хотя и без резкого падения цен, которого ожидали. Текущие данные рынка показывают, что TWT торгуется по $0.87, снизившись на 2.40% за последние 24 часа, с внутридневным диапазоном между $0.86 и $0.90.

Объявленные потери примерно $7 миллион — это предварительные оценки, которые могут быть скорректированы. В рамках расследования краж потери обычно уточняются в течение следующих недель по мере поступления отчетов пострадавших, переоценки адресов и более полного анализа перемещений средств между цепочками и путей вывода.

Аналитики безопасности выделяют три возможных сценария на ближайшие 2-8 недель:

• Контролируемый сценарий (40% вероятность): потери останутся в диапазоне $6-12 миллионов, если компрометация ограничилась вводом фразы восстановления в окно 2.68
• Умеренное расширение сценария (35% вероятность): общие потери достигнут $15-25 миллионов, если подтвердятся дополнительные векторы атаки или задержки в отчетах
• Серьезное изменение сценария (25% вероятность): потери превысят $25 миллион, если будут обнаружены ранее неизвестные механизмы захвата

Что будет дальше

Trust Wallet подтвердил, что возместит все подтвержденные пострадавшие случаи, предоставив подробные инструкции. Компания уже завершает финализацию процесса возврата средств и планирует делиться пошаговыми руководствами только через официальные каналы.

Для разработчиков кошельков и платформ это подчеркивает суровую реальность: граница безопасности для самостоятельного хранения средств простирается далеко за пределы протокольного уровня. Всё зависит от того, как осуществляется распространение программного обеспечения, целостность кода и обработка секретов на пользовательских устройствах. Пользователи должны проверить, вводили ли они фразу восстановления во время работы v2.68 — потому что это единственное действие, которое определяет, достаточно ли обновления или потребуется полная ротация секретов и миграция активов. Пока индустрия не укрепит модели безопасности расширений и каналы распространения, подобные инциденты останутся реальной угрозой для розничных пользователей, управляющих криптовалютой на стандартном оборудовании.