Расширение Chrome Trust Wallet: скрытый скрипт собрал приватные ключи, ущерб до 7 миллионов долларов США

Серьезная уязвимость безопасности: версия 2.68 раскрывает seed phrase пользователей

В период с 24 по 25 декабря 2025 года Trust Wallet выпустила экстренное предупреждение, призывающее пользователей Chrome прекратить использование версии 2.68 расширения. Компания обнаружила уязвимость в процессе выполнения кода, которая позволила несанкционированно собирать seed phrase и приватные ключи пользователей. Первичные отчеты за первые 48-72 часа зафиксировали общий ущерб примерно в 6-7 миллионов долларов на различных блокчейнах.

Расширение Trust Wallet в Chrome Web Store в настоящее время установлено примерно у 1 миллиона пользователей. Реальное влияние зависит от количества обновивших до версии 2.68 и вводивших чувствительную информацию во время существования уязвимости. Trust Wallet утверждает, что мобильные версии и другие платформы не затронуты.

Механизм атаки: вредоносный JavaScript-код собирает секреты кошелька

Исследователи безопасности обнаружили подозрительную логику в пакете установки версии 2.68. В частности, в файле JavaScript, содержащем ссылку на файл “4482.js”, аналитики выявили, что этот код способен передавать seed phrase и приватные ключи на внешний сервер.

Seed phrase — это последовательность слов, которая может разблокировать все текущие и будущие адреса, созданные из нее. Это означает, что при утечке seed phrase все кошельки и активы на различных цепочках могут быть полностью украдены. Группа проверок определила наибольший риск для тех, кто вводил или восстанавливал seed phrase после установки уязвимой версии.

Необходимые действия: обновление недостаточно, нужно переводить активы

Обновление до версии 2.69 может устранить вредоносный код в будущем, но это не автоматически защитит активы, если seed phrase был скомпрометирован ранее.

Если вы вводили или восстанавливали seed phrase при использовании версии 2.68, следует считать его скомпрометированным. Стандартные меры по устранению включают:

• Создание нового seed phrase полностью
• Перевод всех активов на новый кошелек, созданный из нового seed phrase
• Отзыв разрешений токенов (token approvals) на смарт-контрактах, если возможно

Эти действия могут быть затратными из-за необходимости переводить активы через разные цепочки. Пользователям следует учитывать баланс между скоростью и затратами газа, особенно при межцепочечных транзакциях.

Рост мошенничеств “фальшивых спасателей”

В то же время, когда произошла уязвимость, начали появляться вторичные мошеннические схемы. Мошенники создают поддельные домены “устранения неисправностей”, чтобы обманом заставить пользователей раскрывать seed phrase под предлогом “поддержки восстановления кошелька”.

Trust Wallet предупреждает не взаимодействовать с любыми сообщениями, не поступающими из официальных каналов. Атака может маскироваться под команду поддержки Trust Wallet для сбора жертв. Всегда проверяйте источник любых запросов, связанных с seed phrase.

Более широкая проблема: расширения — слабое место в безопасности кошелька

Этот инцидент подчеркивает фундаментальную опасность расширений браузера. Они занимают чувствительную позицию между веб-приложением и процессом подписания транзакций, что позволяет им вмешиваться в информацию, на которую полагается пользователь для подтверждения транзакций.

Академические исследования Chrome Web Store показывают, что вредоносные или скомпрометированные расширения могут избегать автоматической модерации. По мере изменения тактик атак обнаружение становится сложнее. Особенно это актуально для обновлений кошельков, где клиентский код запутан — усложняя анализ.

Прецедент: дисциплина в процессе распространения программного обеспечения

Инцидент вызывает вопросы о целостности процесса разработки и распространения ПО. Долгосрочные решения могут включать:

• Создание воспроизводимых сборок (reproducible builds)
• Разделение ключей (key separation)
• Более прозрачные процедуры отката

Эти меры помогут поставщикам и платформам лучше проверять и информировать пользователей.

Рыночные данные: инвесторы пока “ждут”

Несмотря на серьезность инцидента, рынок токена TWT (Trust Wallet Token) отражает ситуацию неоднозначно. По данным на 12 января 2026 года:

• Текущая цена: $0.89
• Изменение за 24ч: +0.13%
• Максимум за 24ч: $0.90
• Минимум за 24ч: $0.86

Эти колебания показывают, что инвесторы еще не переоценили токен однозначно. Оптимизм может исходить из обещаний Trust Wallet о возмещении ущерба или веры в устранение уязвимости.

Прогноз ущерба: от $6-12 миллионов до $25 миллионов+ в течение 2-8 недель

Причинами возможного дальнейшего роста ущерба являются:

• Запоздалые отчеты пострадавших
• Переклассификация адресов
• Улучшение отслеживания межцепочечных обменов

Реалистичный диапазон прогноза на 2-8 недель можно представить в виде сценариев:

Это зависит от того, ограничивается ли сбор данных вводом seed на v2.68, есть ли дополнительные пути атаки и насколько быстро будут удалены поддельные домены.

Хронология инцидента

• 24 декабря: внедрение версии 2.68; начались сообщения о выводе средств
• 25 декабря: Trust Wallet выпускает версию 2.69 с исправлениями
• Первые 48-72 часа: общий ущерб оценивается в около 6-7 миллионов долларов

Итоговые рекомендации от Trust Wallet

Компания подтвердила, что ущерб составляет около 7 миллионов долларов, и обязалась возместить всем пострадавшим. Инструкции от Trust Wallet:

1. Немедленно отключить расширение версии 2.68 в Chrome
2. Обновить до версии 2.69 в Chrome Web Store
3. Если вводили seed phrase в 2.68: считать его скомпрометированным, создать новый seed и перевести активы
4. Не взаимодействовать с неофициальными сообщениями — мошенники могут маскироваться под поддержку
5. Ожидать инструкций по возврату средств из официальных каналов

Этот инцидент — напоминание о том, что, несмотря на удобство расширений, пользователи должны тщательно учитывать риски безопасности.