Как миллионы были украдены: Кризис расширения браузера Trust Wallet

Первый урон: что потеряли пользователи

В декабре пользователи расширения браузера Trust Wallet обнаружили что-то ужасное — их кошельки были полностью опустошены. В течение нескольких минут после импорта своих сид-фраз средства исчезли в рамках нескольких транзакций. Это происходило не постепенно; это было мгновенно и автоматически. Миллионы активов были переведены на адреса, контролируемые злоумышленниками, прежде чем пользователи успели среагировать.

Скорость и масштаб указывали на нечто гораздо более серьезное, чем стандартный фишинг: злоумышленники уже имели полномочия на подпись.

Обратный след: как произошла утечка

Цепочка событий началась с того, что выглядело как обычное обновление 24 декабря. Новая версия расширения Trust Wallet была выпущена без явных признаков опасности. Пользователи обновляли его как обычно, ожидая стандартных исправлений безопасности.

Но внутри этой версии скрывалось что-то вредоносное.

Скрытое оружие: маскированный код в простом виде

Исследователи безопасности обнаружили новый JavaScript-код (файл 4482.js), встроенный в расширение. Умная часть? Он был замаскирован под аналитический или телеметрический трекер — тот тип мониторингового кода, который используют все приложения. Он не активировался постоянно. Вместо этого он оставался неактивным до определенного триггера.

Для браузерных кошельков это критическая зона. Любая неожиданная исходящая коммуникация из расширения кошелька представляет максимальный риск, потому что оно имеет прямой доступ к приватным ключам и функциям подписи.

Момент срабатывания: когда вводились сид-фразы в кошелек

Вредоносный код активировался только когда пользователи импортировали свою сид-фразу в расширение. Именно в этот момент кошелек получает полный контроль над вашими средствами. Это однократное, рискованное действие — и злоумышленники точно рассчитали время атаки.

Пользователи, которые никогда не импортировали сид-фразы (использовали только существующие кошельки), избежали атаки. Те, кто импортировал? Они стали целями.

Связь с преступниками: фальшивый домен

Когда сработал триггер, внедренный код связался с внешним сервером: metrics-trustwallet[.]com

Домен был специально создан, чтобы выглядеть легитимно — как настоящий поддомен Trust Wallet. Но он был зарегистрирован всего за несколько дней до этого, официально не документировался и исчез с сети вскоре после раскрытия схемы.

Эта исходящая коммуникация означала, что злоумышленники подтвердили успешную установку своего вредоносного кода и могли начать вывод средств.

Исполнение: кошельки опустошены в реальном времени

Как только злоумышленники получили сигнал, что сид-фраза импортирована, они действовали точно:

• Автоматические последовательности транзакций начинались немедленно
• Средства распределялись по нескольким адресам злоумышленников
• Не требовалось подтверждение или подписи пользователя
• Консолидация происходила через несколько кошельков, чтобы запутать следы

Жертвы не имели возможности вмешаться. К тому времени, когда они заметили, что их кошельки пусты, злоумышленники уже перевели средства через свою инфраструктуру.

Почему эта атака была такой опасной

Этот инцидент не был обычным кражей кошелька. Он выявил несколько критических уязвимостей:

Расширения браузера — это риск: они имеют более глубокий доступ к системе, чем веб-приложения, и могут перехватывать чувствительные функции.

Атаки через цепочку поставок реальны: один скомпрометированный апдейт может затронуть сотни тысяч пользователей одновременно.

Импорт сид-фразы — критический момент: именно в этот момент кошелек наиболее уязвим — злоумышленники это поняли и использовали.

Фальшивая документация работает: домен, имитирующий легитимную инфраструктуру, может скрывать вредоносное содержимое в простом виде.

Что было подтверждено

• Конкретная версия расширения Trust Wallet содержала внедренный код
• Пользователи потеряли значительные средства вскоре после импорта сид-фразы
• Вредоносный домен исчез после раскрытия
• Trust Wallet официально признал инцидент безопасности
• Атака ограничилась расширением браузера; мобильные пользователи не пострадали

Что остается неясным

• Было ли это цепочечное нарушение или преднамеренное саботаж
• Точное число пострадавших пользователей
• Общая сумма украденных средств по всему миру
• Были ли собраны сид-фразы для будущих атак
• Кто организовал атаку

Урок: не доверяйте ничему слепо

Этот инцидент показал реальность крипто-безопасности 2024 года: даже проверенные приложения могут быть скомпрометированы. Расширения браузера особенно опасны, потому что они работают в чувствительной зоне между вашим компьютером и вашими активами.

Пользователи должны рассматривать импорт сид-фраз как самый важный момент безопасности. Любое обновление следует делать с осторожностью. И всегда используйте несколько уровней защиты, а не полагайтесь на один инструмент.

Инцидент с Trust Wallet доказывает, что даже миллионы пользователей и известный бренд не гарантируют безопасность. Бдительность — единственная настоящая мера защиты.