Инцидент с взломом расширения Trust Wallet для Chrome, приведший к краже около 7 млн долларов в криптовалюте, стал одним из наиболее показательных примеров того, насколько опасной может быть компрометация цепочки поставки программного обеспечения (supply chain attack) в криптоиндустрии. Постепенно раскрываются технические детали атаки, а также возможные версии того, кто мог за ней стоять.
Как произошло заражение расширения Trust Wallet
Первые массовые жалобы пользователей возникли после установки версии расширения Trust Wallet 2.68 для Chrome, выпущенной 24 декабря 2025 года. Именно эта сборка оказалась вредоносной: после обновления владельцы кошельков начали фиксировать необъяснимый вывод средств на неизвестные адреса.
Представители Trust Wallet оперативно выпустили «чистую» версию 2.69 и рекомендовали всем пользователям немедленно обновиться. Основатель Binance и владелец Trust Wallet Чанпэн Чжао публично подтвердил кражу порядка 7 млн долларов и пообещал компенсировать потери всем пострадавшим пользователям.
Технические детали атаки: что именно сделали злоумышленники
По данным исследователей из компании SlowMist, атака была реализована через прямое изменение исходного кода расширения, а не через скомпрометированные сторонние библиотеки. Вредоносный фрагмент кода перебирал все кошельки, добавленные в расширение, запрашивал зашифрованные данные, расшифровывал seed-фразы с использованием пользовательского пароля и отправлял их на сервер, контролируемый злоумышленниками.
Для вывода данных применялась легитимная аналитическая библиотека PostHog, однако сетевой трафик перенаправлялся не на официальную инфраструктуру аналитики, а на поддельный домен api.metrics-trustwallet[.]com. Это типичная тактика злоумышленников: использование доверенных инструментов и протоколов (включая HTTPS и популярные SDK), чтобы замаскировать утечку данных под обычную телеметрию.
Домен metrics-trustwallet[.]com был зарегистрирован 8 декабря, а первые запросы к нему зафиксированы 21 декабря — за несколько дней до публикации вредоносной версии расширения. Это указывает на заранее подготовленную инфраструктуру и планирование атаки.
Компрометация процесса публикации в Chrome Web Store
Глава Trust Wallet Эовин Чен заявила, что вредоносный релиз 2.68 не проходил через стандартный внутренний pipeline компании. По ее словам, атакующие завладели утекшим API-ключом для Chrome Web Store и смогли самостоятельно загрузить модифицированную версию расширения, которая затем прошла модерацию Google и стала доступна пользователям 24 декабря в 12:32 UTC.
Такая схема подчеркивает критичность защиты технических учетных данных, включая API-ключи, токены CI/CD и доступы к аккаунтам магазинов приложений. Их компрометация фактически дает злоумышленникам возможность «говорить от имени разработчика», публикуя обновления, которым пользователи по умолчанию доверяют.
Параллельная фишинговая кампания против пользователей Trust Wallet
Почти одновременно с публикацией вредоносной версии расширения была развернута отдельная фишинговая атака на пользователей Trust Wallet. Как сообщает издание Bleeping Computer, в соцсети X появились фейковые аккаунты поддержки, которые перенаправляли пользователей на домен fix-trustwallet[.]com.
Сайт имитировал официальный ресурс Trust Wallet и предлагал «исправить уязвимость», установив «обновленную» версию кошелька. После нажатия кнопки обновления жертвам показывали форму с запросом seed-фразы. Ввод этих данных обеспечивал злоумышленникам полный доступ к средствам на кошельке. Домен был зарегистрирован у того же регистратора, что и metrics-trustwallet[.]com, что указывает на высокую вероятность связи обеих атак.
Масштаб ущерба и движение украденных средств
Анализ транзакций в блокчейне показал, что в результате атаки было похищено около 3 млн долларов в биткоинах, примерно 431 доллар в Solana и более 3 млн долларов в Ethereum. По данным PeckShield, значительная часть средств была оперативно выведена через централизованные криптобиржи и обменные сервисы.
Около 3,3 млн долларов отправили на сервис ChangeNOW, примерно 340 000 долларов — на FixedFloat и порядка 447 000 долларов — на биржу KuCoin. Еще примерно 2,8 млн долларов на момент публикации анализа продолжали находиться на адресах, контролируемых злоумышленниками. Подобная схема отмывания через разные площадки затрудняет отслеживание средств и их заморозку, но в ряде случаев биржи готовы сотрудничать с правоохранительными органами.
Кто мог стоять за атакой и роль возможных инсайдеров
Эксперты SlowMist не исключают, что за атакой могут стоять хакеры, связанные с государственными структурами. Для успешного проведения подобной операции злоумышленникам мог потребоваться длительный доступ к устройствам разработчиков или инфраструктуре Trust Wallet, а также время для подготовки инфраструктуры и тестирования вредоносного кода.
Чанпэн Чжао также допускал, что атака могла быть связана с деятельностью инсайдера, однако на данный момент публично не представлено доказательств, однозначно подтверждающих эту версию. На практике крупные инциденты в экосистеме криптовалют нередко представляют собой комбинацию технических уязвимостей, ошибок в процессах безопасности и человеческого фактора.
Ответ Trust Wallet и риски вторичного мошенничества
Представители Trust Wallet подтвердили намерение полностью компенсировать убытки всем пострадавшим пользователям. Для этого предлагается заполнить форму на официальной странице поддержки по адресу trustwallet-support.freshdesk.com, указав контактный email, страну, адреса скомпрометированных кошельков и хэши транзакций.
Одновременно компания предупреждает о росте активности фишинговых групп, которые пытаются воспользоваться ситуацией. В мессенджере Telegram уже появились поддельные формы компенсации и фейковые аккаунты «службы поддержки». Trust Wallet подчеркивает, что взаимодействовать следует только через официальные каналы, указанные на официальном сайте и в проверенных аккаунтах.
Случай с компрометацией расширения Trust Wallet наглядно показывает, что даже популярные и проверенные временем криптокошельки уязвимы к сложным атакам на цепочку поставки и социальную инженерию. Пользователям имеет смысл придерживаться базовых принципов кибербезопасности: регулярно обновлять ПО, проверять подлинность доменов и аккаунтов, никогда и ни при каких условиях не вводить seed-фразу на сторонних сайтах или в веб-формах, использовать отдельные устройства или браузерные профили для работы с крупными суммами и по возможности задействовать аппаратные кошельки. Криптосфера продолжит оставаться одной из главных целей злоумышленников, а значит, внимательность и гигиена безопасности становятся обязательным условием сохранности цифровых активов.
