Розширення Chrome Trust Wallet: прихований скрипт, який збирав приватні ключі, завдав шкоди на суму до 7 мільйонів доларів

Серйозна безпекова інцидент: Версія 2.68 розкриває seed phrase користувачів

У період з 24 по 25 грудня 2025 року Trust Wallet випустила термінове попередження, закликаючи користувачів Chrome припинити використання версії 2.68 розширення. Компанія виявила вразливість у процесі виконання коду, що дозволило незаконно збирати seed phrase та приватні ключі користувачів. Первинні звіти за перші 48-72 години зафіксували загальні збитки приблизно 6-7 мільйонів доларів США на різних блокчейнах.

Розширення Trust Wallet у Chrome Web Store наразі має близько 1 мільйона користувачів. Реальний рівень впливу залежить від кількості користувачів, які оновилися до версії 2.68 і вводили конфіденційну інформацію під час існування вразливості. Trust Wallet запевняє, що мобільна версія та інші платформи не постраждали.

Механізм атаки: Шкідливий JavaScript-код збирає секрети гаманця

Дослідники безпеки виявили підозрілу логіку у пакеті встановлення версії 2.68. Зокрема, у файлі JavaScript, що містить посилання на файл “4482.js”, аналітики виявили, що цей код має здатність передавати seed phrase і приватні ключі на зовнішній сервер.

Seed phrase — це ряд слів, що дає можливість розблокувати всі поточні та майбутні адреси, створені з нього. Це означає, що якщо seed phrase стане відомим, всі гаманці та активи на різних ланцюгах можуть бути повністю вкрадені. Група дослідження визначила високий ризик для тих, хто вводив або відновлював seed phrase після встановлення вразливої версії.

Необхідні дії: Оновлення недостатньо, потрібно переказати активи

Оновлення до версії 2.69 може видалити шкідливий код з розширення в майбутньому, але це не автоматично захистить активи, якщо seed phrase вже був скомпрометований.

Якщо ви вводили або відновлювали seed phrase у версії 2.68, слід вважати, що цей seed був скомпрометований. Стандартні заходи з відновлення включають:

• Створити новий seed phrase з нуля
• Перевести всі активи на новий гаманець, створений з нового seed
• Відкликати дозволи токенів (token approvals) на смартконтрактах, якщо можливо

Ці дії можуть бути дорогими через необхідність переказу активів між різними ланцюгами. Користувачам потрібно балансувати між швидкістю та витратами газу, особливо при міжланцюгових транзакціях.

Зростаючі шахрайські схеми “рятувальних” атак

У той самий час, коли стався інцидент, почали з’являтися вторинні шахрайські схеми. Зловмисники створюють фальшиві домени “усунення несправностей”, щоб обманом змусити користувачів надати seed phrase під прикриттям “підтримки відновлення гаманця”.

Trust Wallet радить користувачам не взаємодіяти з будь-якими повідомленнями, що не надходять з офіційних каналів. Зловмисники можуть імітувати команду підтримки Trust Wallet для залучення жертв. Завжди перевіряйте джерело будь-яких запитів, пов’язаних із seed phrase.

Більш широка проблема: Розширення — слабке місце безпеки гаманця

Цей інцидент підкреслює основний ризик браузерних розширень. Вони розміщені у чутливій зоні між веб-додатками та процесом підпису транзакцій, що дозволяє їм втручатися у інформацію, яку користувач використовує для підтвердження операцій.

Академічні дослідження Chrome Web Store показують, що шкідливі або зламані розширення можуть уникати автоматичного контролю. З часом тактики атак змінюються, і здатність їх виявляти зменшується. Це особливо тривожно для оновлень гаманців, де клієнтський код може бути ускладнений — що ускладнює аналіз.

Прецедент: Стандарти розподілу програмного забезпечення

Інцидент ставить під сумнів цілісність процесів розробки та розповсюдження програмного забезпечення. Довгострокові рішення можуть включати:

• Створення відтворюваних збірок (reproducible builds)
• Розділення ключів (key separation)
• Чіткіші процеси відкату

Ці заходи допоможуть постачальникам і платформам розробляти кращі методи перевірки та інструкції для користувачів.

Дані ринку: Інвестори все ще “очікують”

Незважаючи на серйозність інциденту, ринок токену TWT (Trust Wallet Token) відображає ситуацію складно. За даними станом на 12 січня 2026 року:

• Поточна ціна: $0.89
• Зміна за 24 години: +0.13%
• Максимум за 24 години: $0.90
• Мінімум за 24 години: $0.86

Ця волатильність свідчить про те, що інвестори ще не переоцінили токен у односторонньому напрямку. Оптимістичні ознаки можуть походити від обіцянок повернення коштів Trust Wallet або довіри до здатності виправити ситуацію.

Прогноз збитків: Від $6-12 мільйонів до $25 млн+ за 2-8 тижнів

Причинами подальшого зростання збитків можуть бути:

• Затримки у звітуванні постраждалих
• Перекласи адрес
• Покращення можливостей відстеження міжланцюгових обмінів

Реалістичний прогноз у період 2-8 тижнів може бути поділений на сценарії:

Це залежить від того, чи обмежується збір даних лише введенням seed у v2.68, чи існують додаткові шляхи атаки, і наскільки швидко будуть закриті фальшиві домени.

Хронологія інциденту

• 24 грудня: Впровадження версії 2.68; почали з’являтися повідомлення про зняття коштів
• 25 грудня: Trust Wallet випустила версію 2.69 з виправленнями
• Перші 48-72 години: Загальні збитки оцінюються у приблизно 6-7 мільйонів доларів США

Останні рекомендації Trust Wallet

Компанія підтвердила, що приблизно 7 мільйонів доларів США постраждали, і пообіцяла повернути кошти всім постраждалим користувачам. Інструкції від Trust Wallet такі:

1. Вимкнути версія 2.68 з Chrome негайно
2. Оновити до версії 2.69 з Chrome Web Store
3. Якщо вводили seed phrase у 2.68: вважайте, що цей seed скомпрометований, створіть новий і переказуйте активи
4. Не взаємодіяти з неофіційними повідомленнями — зловмисники можуть імітувати підтримку Trust Wallet
5. Очікувати офіційних інструкцій щодо повернення коштів

Цей інцидент нагадує, що хоча розширення зручні, користувачі мають ретельно оцінювати ризики безпеки.