#私钥与钱包安全漏洞 Ця історія з Trust Wallet мене трохи засмучує. Баг у версії 2.68, понад 6 мільйонів доларів знецінено, зловмисники почали планувати ще 8 грудня, а до Різдва вже почали збирати врожай — їхня тактика надзвичайно професійна, очевидно, це цільова атака рівня АРТ.

Пам’ятаєте хвилю зломів бірж у 2018 році? Тоді всі сперечалися про холодні та гарячі гаманці. Тепер, оглядаючись назад, справжній ризик ніколи не був у самому гаманці, а у невидимій трубі коду. Репутація відкритого коду Trust Wallet стала найкращим прикриттям для атакуючих — вони глибоко змінили логіку аналітичних сервісів у вихідному коді, використовуючи легальні бібліотеки, такі як PostHog, для крадіжки даних, а потім обманювали користувачів через фейкові домени metrics-trustwallet.com. Це вже не просто вразливість безпеки, а повна проникнення у ланцюг постачання.

Збитки на біткоїні склали 33, на Ethereum і Solana — по 3 мільйони. Найболючіше — ці викрадені активи зараз розповсюджуються через DEX і міжланцюгові мости. Атакауючі явно добре знають, як відслідковувати транзакції у ланцюгу.

Найбільше вразила мені ця хронологія: 22 грудня був вставлений бекдор, 25 грудня почалися перекази. У день Різдва багато користувачів були занурені у святкову радість і навіть не підозрювали, що їхні мнемонічні фрази вже лежать на серверах хакерів. Це іронія історії — кожен великий інцидент безпеки повторює один і той самий урок: чим вищий рівень довіри, тим нижча обережність і тим більша ціна.

Моя порада дуже проста: якщо ви користувалися розширенням для гаманця, негайно відключіться від мережі для перевірки. Виведіть приватний ключ, видаліть стару версію, переказуйте кошти через інші гаманці. Не зволікайте, не сподівайтеся на удачу. Ця подія показала, що навіть найвідоміші проєкти можуть бути зламані, а найретельніший аудит коду — обійдено. Безпека гаманця у 2025 році — це доведення до крайності своєї параної.