Компрометація розширення Trust Wallet для браузера Chrome, що призвела до крадіжки близько 7 млн доларів у криптовалюті, стала показовим кейсом небезпеки supply chain атак у криптоекосистемі. Інцидент продемонстрував, як злам ланцюга постачання програмного забезпечення дозволяє атакувальникам легітимно розповсюджувати шкідливі оновлення під брендом надійного розробника.
Як зловмисники отруїли оновлення Trust Wallet для Chrome
Масові скарги користувачів почали надходити після виходу версії Trust Wallet 2.68 для Chrome, опублікованої 24 грудня 2025 року. Саме ця збірка виявилася зараженою: після автоматичного оновлення користувачі помічали несанкціонований вивід коштів на невідомі адреси без їх участі.
Команда Trust Wallet оперативно випустила «чисту» версію 2.69 та закликала всіх користувачів негайно оновити розширення. Засновник Binance і власник Trust Wallet Чанпэн Чжао підтвердив сумарні втрати на рівні близько 7 млн доларів та пообіцяв повну компенсацію постраждалим.
Технічний аналіз: експорт seed-фраз через аналітичну бібліотеку
За даними дослідників SlowMist, модифікація відбувалася на рівні вихідного коду самого розширення, а не через заражені сторонні залежності. Доданий шкідливий модуль перебрав усі гаманці, підключені до розширення, запитав зашифровані дані та, використовуючи пароль користувача, розшифрував і витягнув seed-фрази.
Для передачі викрадених даних зловмисники використали легітимну бібліотеку аналітики PostHog. Однак трафік скеровувався не на офіційну інфраструктуру сервісу, а на підроблений домен api.metrics-trustwallet[.]com. Такий підхід маскує витік під звичайну телеметрію, яка зазвичай не викликає підозр ані у користувачів, ані у систем моніторингу.
Домен metrics-trustwallet[.]com зареєстрували 8 грудня, а перші запити до нього зафіксували 21 грудня — за кілька днів до виходу шкідливої версії. Це свідчить про попереднє планування, розгортання інфраструктури та тестування атаки.
Компрометація Chrome Web Store: роль викраденого API-ключа
Генеральна директорка Trust Wallet Еовін Чен зазначила, що реліз 2.68 не проходив стандартний внутрішній pipeline компанії. Замість цього атакувальники нібито використали викрадений API-ключ Chrome Web Store, що дозволило їм самостійно завантажити модифіковане розширення й опублікувати його від імені офіційного розробника. Зафіксований час появи зараженої версії в магазині — 24 грудня, 12:32 UTC.
Такий сценарій підкреслює критичну важливість захисту технічних облікових даних — API-ключів, токенів CI/CD, облікових записів магазинів застосунків. Їх компрометація на практиці дорівнює повному контролю над каналом оновлень і дозволяє зловмисникам обходити довіру до підписів і брендів.
Паралельна фішингова кампанія проти користувачів Trust Wallet
Паралельно з supply chain атакою фіксувалася масштабна фішингова кампанія проти користувачів Trust Wallet. За даними Bleeping Computer, у соцмережі X з’явилися фейкові акаунти підтримки, які перенаправляли жертв на сайт fix-trustwallet[.]com.
Ресурс імітував офіційний сайт Trust Wallet і пропонував «усунути вразливість», нібито встановивши «оновлену» версію гаманця. Після натискання кнопки «оновлення» користувачам показували форму з вимогою ввести seed-фразу. Передача цієї фрази повністю відкривала доступ до їхніх коштів. Домен було зареєстровано у того ж реєстратора, що й metrics-trustwallet[.]com, що вказує на високу ймовірність спільної операції.
Масштаб збитків і відмивання викраденої криптовалюти
Аналіз блокчейн-транзакцій показав, що було викрадено близько 3 млн доларів у BTC, понад 3 млн доларів в Ethereum і близько 431 долара в Solana. Компанія PeckShield виявила, що значну частину коштів оперативно перевели через централізовані біржі та сервіси обміну.
Близько 3,3 млн доларів було виведено через сервіс ChangeNOW, ще приблизно 340 000 доларів — через FixedFloat і орієнтовно 447 000 доларів — на біржу KuCoin. За оцінками дослідників, близько 2,8 млн доларів на момент аналізу залишалися на гаманцях, контрольованих атакувальниками. Розподіл коштів між численними майданчиками ускладнює замороження активів, хоча багато бірж співпрацюють із регуляторами та правоохоронцями.
Можливі організатори: державні хакери чи інсайдерський слід
Експерти SlowMist припускають, що за інцидентом можуть стояти угруповання, пов’язані з державними структурами. Для такої операції потрібні тривалий доступ до інфраструктури розробника, глибоке розуміння процесів публікації та час на тестування шкідливого коду.
Чанпэн Чжао також не виключав інсайдерський фактор, але наразі немає публічних доказів, що однозначно підтверджують цю версію. Практика показує, що великі інциденти в криптосекторі часто є поєднанням технічних вразливостей, прогалин у процесах безпеки та людських помилок.
Компенсації від Trust Wallet і нова хвиля шахрайства
Trust Wallet офіційно заявив про готовність повністю відшкодувати збитки постраждалим користувачам. Для цього необхідно заповнити форму на сторінці підтримки trustwallet-support.freshdesk.com, вказавши контактний email, країну, скомпрометовані адреси гаманців та хеші транзакцій.
Водночас компанія попереджає про появу фейкових форм компенсацій і підроблених акаунтів «служби підтримки» в Telegram та інших каналах. Користувачам рекомендується взаємодіяти лише з контактами, розміщеними на офіційному сайті Trust Wallet та в верифікованих акаунтах.
Інцидент із зломом розширення Trust Wallet демонструє, що навіть великі та відомі криптогаманці залишаються вразливими до складних атак на ланцюг постачання й соціальну інженерію. Щоб зменшити ризики, користувачам варто: ніколи не вводити seed-фразу на сторонніх сайтах і в веб-формах, перевіряти домени та акаунти підтримки, регулярно оновлювати ПЗ лише з офіційних джерел, розділяти робочі та «крипто» профілі браузера, а для зберігання значних сум по можливості використовувати апаратні гаманці. Чим далі зростає капіталізація крипторинку, тим привабливішою ціллю він стає для атакувальників — а отже, цифрова гігієна та базові навички кібербезпеки мають стати нормою для кожного власника криптоактивів.
