Обычное обновление расширения Chrome обернулось началом крупного хищения криптоактивов. 24 декабря Trust Wallet выпустил обновление для своего расширения Chrome — версию 2.68 — через магазин Chrome Web Store.
25 декабря, в день Рождества, первые пострадавшие обнаружили, что средства с их кошельков были переведены без их разрешения. Блокчейн-аналитик ZachXBT оперативно начал расследование и распространил срочное предупреждение в Telegram-группах.
В ходе расследования выяснилось, что пострадали только пользователи браузерной версии расширения 2.68. Мобильные и другие версии остались в безопасности.
01 Обзор инцидента: Рождественский сбой безопасности и реакция сообщества
25 декабря 2025 года — день, который должен был стать праздником — превратился в кошмар для сотен пользователей Trust Wallet. Блокчейн-детектив ZachXBT сообщил, что сотни пользователей лишились средств на платформе Trust Wallet, а сумма потерь уже превысила $6 млн.
Trust Wallet — криптовалютный кошелек, принадлежащий Binance, — заявляет о десятках миллионах пользователей. Как один из ведущих некостодиальных кошельков, он поддерживает основные блокчейны, такие как Ethereum и Binance Smart Chain, и тесно интегрирован с множеством DeFi-платформ.
После взлома Trust Wallet официально выпустил предупреждение о безопасности, подтвердив уязвимость в браузерной версии расширения 2.68, и срочно опубликовал исправленную версию 2.69.
Основатель Binance CZ также отреагировал в социальных сетях, заявив, что общий ущерб от уязвимости составил примерно $7 млн, и пообещал, что платформа полностью компенсирует убытки пострадавших пользователей, заверив, что средства находятся "SAFU" (Secure Asset Fund for Users).
02 Хронология атаки: Тщательно спланированное рождественское ограбление
Хронология этого инцидента свидетельствует о продуманной подготовке со стороны злоумышленников. 24 декабря, в канун Рождества, Trust Wallet разместил обновление расширения в магазине Chrome Web Store. Большинство пользователей, занятые праздничными хлопотами, обновили расширение автоматически или вручную.
Спустя несколько часов, утром 25 декабря (восточное время США, с раннего утра до позднего утра), первые пострадавшие начали замечать несанкционированные переводы средств. Получив многочисленные сообщения, ZachXBT опубликовал публичное предупреждение в Telegram примерно в полдень по местному времени.
Несанкционированные переводы продолжались более 30 часов, охватывая значительный период после первых сообщений о взломе. В это время официальные аккаунты Trust Wallet продолжали публиковать праздничные поздравления и маркетинговые кампании, что резко контрастировало с происходящим и вызвало сильное недовольство в сообществе.
Только 26 декабря — спустя более 30 часов после начала инцидента — представители Trust Wallet публично признали уязвимость браузерного расширения. Задержка с реакцией вызвала широкую критику и усилила тревогу пользователей.
03 Технический анализ: Критическая уязвимость браузерного расширения
Эксперты по безопасности предполагают, что атака могла быть реализована двумя способами: либо вредоносный код был намеренно внедрен при обновлении, либо в процессе была случайно добавлена эксплуатируемая уязвимость.
Высокий уровень разрешений у расширений Chrome делает их привлекательной целью для атак. Такие расширения способны читать и изменять весь веб-контент, который просматривает пользователь, перехватывать сетевые запросы, внедрять произвольные скрипты и даже получать доступ к локальному хранилищу.
CISO компании SlowMist отметил, что этот взлом мог начаться с компрометации устройств разработчиков или репозитория исходного кода, и пользователи продолжают подвергаться риску. Этот анализ подчеркивает опасность атак на цепочку поставок: злоумышленникам не обязательно взламывать сам кошелек — достаточно скомпрометировать любой компонент на этапе разработки.
Исследования в области безопасности показывают, что браузерные кошельки подвержены трем системным рискам: автоматические обновления вынуждают пользователей принимать новые версии без аудита кода; злоупотребление разрешениями позволяет легитимным расширениям внедрять вредоносный код при обновлении; уязвимости в цепочке зависимостей приводят к тому, что сторонние приложения могут быть скомпрометированы без ведома пользователей.
04 Отслеживание движения средств: Маршрут отмывания похищенных активов
По данным мониторинга PeckShield, в результате эксплойта Trust Wallet злоумышленники похитили более $6 млн в криптоактивах. Средства были быстро и автоматически переведены на ряд кошельков, контролируемых атакующими.
Анализ движения средств показывает системный процесс отмывания:
| Статус средств | Сумма (примерно, USD) | Основное направление или примечания |
|---|---|---|
| Все еще на кошельках хакеров | $2,8 млн | Распределены по сетям Bitcoin, EVM и Solana |
| Переведены на централизованные биржи | Более $4 млн | Отправлены на ChangeNOW, FixedFloat, KuCoin и другие |
В частности, около $3,3 млн были переведены на ChangeNOW, примерно $340 000 — на FixedFloat, и около $447 000 — на KuCoin. Такая быстрая и распределенная схема переводов характерна для атак через расширения или фронтенд, усложняя отслеживание средств.
Аналитики на блокчейне обнаружили, что вновь созданный EVM-кошелек получил транзакции от долей ETH до 7 ETH. Один из адресов все еще хранит более 255 ETH, что составляет примерно $750 000.
В сети Bitcoin один адрес получил более 12 BTC (более $1 млн) через 66 транзакций, а другие кошельки — в сумме 1,5 BTC.
05 Влияние на рынок и динамика токена
Инцидент с Trust Wallet затронул не только прямых пострадавших, но и вызвал волну потрясений на крипторынке. Как нативный утилитарный токен экосистемы кошелька, Trust Wallet Token (TWT) может столкнуться с давлением на снижение цены.
Основатель SlowMist Ю Цзинь отметил, что злоумышленник был хорошо знаком с исходным кодом расширения Trust Wallet и внедрил скрипт PostHog JS для сбора широкого спектра данных о кошельках пользователей. Примечательно, что в исправленной версии Trust Wallet скрипт PostHog JS не был удален.
Ранее аналогичные инциденты приводили к снижению цен на связанные токены на 10–20% в течение 24 часов, при этом объемы торгов резко возрастали из-за панических продаж. Это событие может также подтолкнуть инвесторов к переходу в более надежные активы, такие как биткоин и эфир.
По состоянию на 26 декабря данные платформы Gate свидетельствуют о сдержанном настроении рынка: инвесторы уделяют повышенное внимание вопросам безопасности кошельков. Несмотря на обещание CZ о полной компенсации, восстановление доверия на рынке потребует времени.
06 Руководство для пользователей и рекомендации по безопасности
Если вы являетесь потенциально пострадавшим пользователем Trust Wallet, выполните следующие шаги:
Шаг 1: Проверьте и изолируйте. Просмотрите историю транзакций за последние 48 часов, обратите внимание на несанкционированные переводы токенов, взаимодействие с контрактами или подтверждение подписей. Если обнаружите подозрительную активность, немедленно отключите расширение Trust Wallet для Chrome, перейдите по адресу chrome://extensions и удалите или отключите его.
Шаг 2: Восстановление активов. Используйте сервис Revoke.cash или функцию Token Approvals на Etherscan для отзыва всех разрешений DeFi. Создайте совершенно новый кошелек с новым seed-фразой — не восстанавливайте старый кошелек. Переведите оставшиеся активы на новый адрес и избегайте использования устройств, которые могли быть скомпрометированы.
Шаг 3: Сообщите и защищайтесь. ZachXBT рекомендует пострадавшим обратиться в правоохранительные органы и предоставить подробные записи транзакций. Хотя случаи кражи криптоактивов редко раскрываются, официальная фиксация инцидента важна для возможных коллективных исков или страховых выплат.
Пользователям Trust Wallet, которые не пострадали, рекомендуется: прекратить использование расширения Chrome, перейти на мобильные приложения или аппаратные кошельки; проверить и отозвать лишние разрешения DeFi-контрактов; не подписывать новые транзакции или разрешения до прояснения ситуации; регулярно делать резервные копии seed-фразы и хранить их офлайн; рассмотреть перевод крупных активов на аппаратный кошелек.
Официальный центр поддержки Trust Wallet опубликовал процедуру компенсации, пострадавшие могут зарегистрировать свои претензии через этот канал. ZachXBT отметил, что при признании ответственности Trust Wallet платформа может быть обязана компенсировать убытки пользователям.
Перспективы
Более $4 млн уже были переведены на биржи ChangeNOW, FixedFloat и KuCoin, а последствия рождественского взлома продолжают сказываться на криптоиндустрии. По данным PeckShield, около $2,8 млн все еще находятся на кошельках, контролируемых злоумышленниками.
Эксперт по безопасности Ю Цзинь, обнаруживший подозрительный скрипт в обновленной версии, продолжает публиковать предупреждения в социальных сетях. В мире цифровых активов безопасность — это не разовое событие, а бесконечный марафон.
Молчание Trust Wallet и последующие действия компании определят, как отрасль будет реагировать на подобные кризисы. Для каждого держателя криптоактивов этот инцидент — серьезное и однозначное напоминание: настоящая безопасность всегда зависит только от вас самих.
