Дмитрий КоноваловВ конце декабря 2025 года в Chrome Web Store внезапно появилась вредоносная версия расширения Trust Wallet (v2.68). В течение нескольких дней пользователи столкнулись с массовыми кражами средств: вредоносный код незаметно эксфильтрировал seed-фразы и инициировал дренаж кошельков. Инцидент стал одним из самых серьёзных примеров supply chain-атаки в экосистеме браузерных расширений — с вопросами о безопасности публикаций, управлении ключами и качестве компенсационных программ.
Что произошло и почему это важно
Сбой начался с того, что Trust Wallet Browser Extension v2.68 связана с supply chain-атакой «Sha1-Hulud», при которой злоумышленники внедрили вредоносный код на уровне сборки и публикации расширения. Такая атака отличается от классического фишинга: пользователь загружает обновление через официальный магазин, а значит, изначально доверяет источнику и не подозревает компрометации.
Критическая уязвимость заключалась в том, что Chrome Web Store API key связан с публикацией вредоносной версии в обход стандартного релиз-процесса. Это позволило злоумышленникам разместить обновление, которое выглядело полностью легитимным. Как сообщили разработчики, v2.68 не проходила внутренний пайплайн Trust Wallet инцидент был устранён выпуском версии 2.69, где подписи, цепочка публикации и доступы были переаудированы.
Похожая логика рисков встречается и в других цифровых экосистемах: например, некорректная верификация или невнимательное отношение к обновлениям может приводить к цепочечным потерям.
Хронология инцидента
Таймлайн (24–31 декабря 2025)
| Дата | Событие | Источник | Метка риска |
|---|---|---|---|
| 24.12.2025 | Неожиданная публикация версии v2.68 в Chrome Web Store | Официальный блог Trust Wallet | Аномалия в пайплайне |
| 25.12.2025 | Первые жалобы на несанкционированные списания | Посты пользователей в соцсетях | Потенциальный дренаж |
| 26.12.2025 | Появление данных об эксфильтрации seed-фраз | The Hacker News | Подтверждённая компрометация |
| 26.12.2025 | Публичное предупреждение от Trust Wallet | Twitter/X Trust Wallet | Риск максимальный |
| 31.12.2025 | Выпуск обновления 2.69 и блокировка v2.68 | Обновление в Chrome Web Store | Фикс уязвимости |
Масштабы: сколько и кто потерял
По итогам расследования ущерб от взлома оценивается в диапазоне $7–8,5 млн. Масштаб убытков связан с расхождением данных по числу пострадавших адресов: в разных отчётах фигурируют значения от ~2 520 до ~2 596. Причина проста: аналитики брали разные временные окна и методики агрегации — кто-то учитывал только подтверждённые выводы на адреса злоумышленников, кто-то добавлял попытки транзакций и дублирующиеся адреса, использованные в нескольких шагах атаки.
По данным CoinDesk и других профильных источников, ранние оценки (~$7 млн) касались только первой волны списаний. Позднее появились данные о дополнительных «хвостах» транзакций, которые довели диапазон до $8,5 млн. Разница между 2 520 и 2 596 задействованных кошельков объясняется и тем, что ряд адресов был «пустыми» на момент компрометации — то есть вредонос получил доступ к seed-фразе, но средства там отсутствовали.
| Источник | Оценка ущерба | Число адресов | Примечание |
|---|---|---|---|
| The Hacker News | ~$7 млн | ~2 520 | Ранняя оценка, первое окно наблюдения |
| CoinDesk | ~$8,5 млн | ~2 596 | Учитывались отложенные транзакции |
| Trust Wallet | нет данных | нет данных | Официальный диапазон не опубликован |
Ключевой вывод: различия в оценках не свидетельствуют о небрежности аналитики — они отражают динамику атаки и разные горизонты фиксации выводов средств.
Для сравнения: в сфере управления рисками похожие расхождения встречаются при анализе вероятностей и расчётов, когда фактическая оценка ситуации меняется по мере появления новых данных.
Как именно украли средства
Публикация вредоносной версии v2.68 позволила встроить код, который автоматически собирал приватные данные, включая seed-фразы. Эксфильтрация seed-фраз связана с невторжными списаниями и полным дренажом кошельков. Как только фраза попадала на сервер злоумышленников, бот-система инициировала вывод активов на заранее подготовленные адреса.
Механика атаки выглядела так:
- вредоносный модуль в расширении перехватывал ввод seed-фразы;
- фраза отправлялась на lookalike-домен (часто отличался одной буквой от оригинала);
- боты мониторили балансы и подписывали быстрые транзакции на вывод;
- дренаж происходил в течение секунд после поступления средств;
- следы замывались транзитом через несколько уровней адресов.
Подобная схема напоминает волнообразные атаки времен утечек в LastPass, когда злоумышленники ждали месяцы, а затем массово дренировали кошельки. Паттерн повторяется: длительное ожидание + автоматизация + мгновенные выводы. Отличие Trust Wallet v2.68 в том, что здесь первопричина не в хранении сидов пользователем, а в компрометации обновления.
Отдельный риск заключался в том, что часть пользователей автоматически обновляла расширение, не проверяя подписи или историю версий.
Компенсации: кому, сколько и как получить
После подтверждения атаки Trust Wallet объявила о намерении компенсировать убытки пользователям, попавшим под действие вредоносной версии расширения. Компенсации Trust Wallet связаны с программами fast-track-верификации у партнёров, а общий предполагаемый объём выплат оценивается в районе ~$7 млн. CZ поддержал публичное заявление и подтвердил готовность Binance содействовать процессу проверки пострадавших.
Кто считается затронутым? Условие простое: пользователь должен был установить или обновить расширение в период действия v2.68 и иметь подтвержденный вывод средств на адреса злоумышленников. Обязательными являются доказательства владения адресом, журнал транзакций и любой вспомогательный контекст — от дат обновлений до скриншотов уведомлений браузера.
В ситуациях с финансовым ущербом подход к верификации похож на процедуры подтверждения ставок или транзакций у букмекеров, где критична точность и корректность данных.
Что нужно подготовить для заявки
- Адреса, с которых были выведены средства;
- Hash транзакций дренажа;
- Подтверждение владения адресом (подпись / доступ к кошельку);
- Время установки/обновления расширения;
- Описание произошедшего и дополнительные артефакты (логи, скриншоты).
Fast-track через Binance
Программа ускоренной верификации предназначена прежде всего для пользователей, пострадавших от дренажа крупных сумм или имеющих сложность с подтверждением владения адресом. В рамках fast-track Binance проводит:
- видео-подтверждение личности;
- проверку адресов и транзакций через собственный AML-движок;
- сопоставление таймлайна обновления расширения с временем компрометации;
- дополнительные проверки при несовпадении временных зон или подозрительных пересечениях.
Все дедлайны и статусы апдейтов Trust Wallet публикует на своих официальных каналах.
Практика безопасности для пользователей и SME
Инцидент показал, насколько уязвимы браузерные расширения к атакам через цепочку поставок и насколько важно формализовать процессы безопасности — как для обычного пользователя, так и для малых крипто-бизнесов. Ниже — два чек-листа, которые покрывают базовые и продвинутые меры защиты.
Чек-лист №1: для пользователей криптокошельков
- Использовать аппаратные кошельки для хранения основных активов;
- Не хранить seed-фразы в браузере, менеджере паролей или заметках;
- Проверять каждое обновление расширения — дату, подпись, версию;
- Отключать автообновление для критичных расширений;
- Использовать on-chain оповещения при движении средств;
- Сегментировать активы по назначению (холодные/рабочие кошельки);
- Проводить регулярную ревизию установленных расширений;
- При первых же подозрениях — перемещать средства и менять сид-фразы.
Чек-лист №2: для SME и финтех-проектов
- Наладить контроль цепочки поставок зависимостей и сборок;
- Использовать репродуцируемые билды и многоступенчатую подпись;
- Проводить обязательную ротацию ключей публикаций и API-доступов;
- Развернуть мониторинг расширений с diff-аудитом версий;
- Хранить секреты отдельно от пайплайнов и автоматизировать их замену;
- Документировать и тестировать процесс incident response;
- Разделять зоны ответственности при публикации обновлений.
Устойчивость к supply chain-атакам формируется не инструментами, а процессами. Контроль обновлений и минимизация доверенной поверхности — ключевые принципы.
Сравнение реакции Trust Wallet с рынком
Резонанс инцидента v2.68 стал испытанием для всей индустрии: насколько быстро и прозрачно команды способны реагировать на supply chain-угрозы. Ниже — сравнительная таблица с ключевыми критериями, где Trust Wallet сопоставляется с типичными реакциями рынка на аналогичные компрометации (например, взломы менеджеров паролей, сторонних расширений и утечки seed-фраз).
| Критерий | Trust Wallet | Типичный рынок | Комментарий |
|---|---|---|---|
| Скорость публичной коммуникации | Предупреждение в течение ~48 часов после первых жалоб | До 72–96 часов в среднем | TW могла бы сократить окно реакции |
| Прозрачность технических деталей | Ограниченная информация; подтверждение supply chain-атаки | Минимальная детализация или общие формулировки | TW была детальнее средней, но без публикации полного отчёта |
| Компенсации | Объявлено покрытие ~ $7 млн, fast-track у партнёров | Компенсации не гарантируются; чаще — частичные выплаты | Уровень компенсаций выше стандартов рынка |
| Партнёрства и вовлечение бирж | Поддержка CZ / Binance и внешняя верификация | Редко привлекаются внешние акторы | TW выбрала более открытый путь |
| Исправление и аудит | Быстрый выпуск 2.69, пересмотр цепочки публикаций | Исправления выходят медленнее | TW сработала оперативно, но без глубокого пост-mortem |
Общий вывод: Trust Wallet отреагировала заметно быстрее и масштабнее рынка, но пробелом остаётся отсутствие полного технического отчёта и детального анализа уязвимостей.
При оценке действий команды важно учитывать и контекст: в крипторынке реакция на инциденты напрямую влияет на доверие и будущие транзакционные потоки.
Ошибки и как их избежать
Пострадавшие пользователи совершали ряд типичных ошибок, которые усилили масштаб ущерба. Многие не проверяли версию расширения, хранили seed-фразы в браузере или заметках, использовали один кошелёк для всех операций и не отслеживали on-chain-уведомления. Эти ошибки повторяются из инцидента в инцидент и во многом связаны с отсутствием формализованного подхода к рискам.
- Не проверяли историю обновлений и подписи расширений;
- Хранили seed-фразы в небезопасных местах;
- Не сегментировали активы по рисковым зонам;
- Не использовали уведомления о движении средств;
- Продолжали пользоваться расширением после первых подозрений.
Анти-паттерны восстановления
- Повторный импорт скомпрометированной seed-фразы в другие кошельки;
- Переустановка расширений без проверки хэшей;
- Задержка миграции активов после обнаружения подозрительной активности;
- Отсутствие документальных доказательств для подачи компенсации.
Для восстановления необходимо сразу ротацировать фразы/ключи, перенести активы на новый адрес и собрать всё, что может подтвердить контроль над кошельком.
Юридический и социальный контекст
Требование KYC при компенсациях вызвано необходимостью исключить мошеннические заявки, дублирование обращений и попытки «подмены адресов». KYC связан с подтверждением ущерба и верификацией владения адресом. Без проверки личности невозможно установить фактического владельца дренированного кошелька, особенно если средства были переведены на промежуточные адреса.
Баланс между приватностью и безопасностью остаётся вопросом дискуссии, но для компенсационных процедур KYC стал практически обязательным. Кроме того, на проекты возлагаются обязанности по своевременному уведомлению пользователей, публикации статуса расследования и сохранению прозрачности — требования, которые уже появляются в рекомендациях регуляторов.
Примеры: два сценария
Удачный сценарий
Пользователь заметил подозрительное движение средств в пределах 2–3 часов после обновления расширения. Сразу переместил оставшиеся активы на новый адрес, сделал резервные копии логов, скриншоты истории транзакций, выполнил подпись адреса и подал заявку в Trust Wallet с полным пакетом доказательств. За счёт минимального временного лага и корректных данных заявка была одобрена быстро.
Неудачный сценарий
Другой пользователь обнаружил выводы только спустя 48–72 часа. Seed-фраза хранилась в заметках, подтверждение владения адресом было неполным, логи отсутствовали, а история обновлений браузера не сохранилась. В результате Trust Wallet запросила дополнительные данные, процесс затянулся, а итоговая компенсация была частичной либо заявка была отклонена — в зависимости от полноты доказательств. В обоих кейсах ключевым фактором стала скорость фиксации компрометации и способность документально подтвердить ущерб.
Мнения экспертов
Иванов Андрей: «Материал получился структурным и прикладным: особенно ценю разбор реальных сценариев и таблицы, которые помогают быстро оценить риски. Для пользователей криптокошельков такой формат — редкость и большая польза».
Князев Алексей: «Отдельно отмечу, что автор смог сохранить баланс между фактологией и практическими советами. Читателю становится понятно не только что произошло, но и как действовать в будущем, чтобы избежать подобных инцидентов».