Trust Wallet підтверджує вразливість розширення браузера: понад $6 мільйонів знято на Різдво

Trust Wallet офіційно визнав вразливість у безпеці версії 2.68 свого розширення для Chrome, що призвело до несанкціонованих зняттів на суму понад $6 мільйонів від постраждалих користувачів у Різдвяний день.

Компанія підкреслила, що постраждало лише це конкретне версія розширення, тоді як мобільний додаток та інші релізи розширень залишаються безпечними.

(Джерела: X)

Деталі інциденту та негайні заходи реагування

Злом був вперше зафіксований на блокчейн-інвестигатором ZachXBT 25 грудня, який повідомив про швидке виведення коштів з кількох користувачів Trust Wallet незабаром після недавнього оновлення розширення.

Trust Wallet швидко підтвердив проблему у соцмережах, закликавши користувачів негайно відключити версію 2.68 та оновити до останньої версії (версії 2.69).

Команда заявила, що триває активне розслідування, і обіцяє оновлення по мірі появи нових деталей. Точна технічна причина ще не розкрита.

Аналіз ZachXBT показав, що зловмисники використали вразливість для прямого доступу до гаманців, виконуючи несанкціоновані перекази. Більше ніж $4 мільйонів викрадених коштів, імовірно, було переведено на централізовані біржі, можливо, через флеш-займи для приховування слідів.

Сотні користувачів, ймовірно, постраждали, що робить цю інцидент однією з найбільших атак, пов’язаних із розширеннями за останній час.

Інструкції для користувачів та рекомендації щодо безпеки

Trust Wallet опублікував чіткі кроки безпеки:

• Негайно відключити та видалити версію 2.68 розширення для браузера.
• Оновити до виправленої версії для подальшого використання.
• Розглянути можливість міграції активів до мобільного додатку, який пропонує біометричну автентифікацію і залишився без уразливості.
• Уважно стежити за активністю гаманця на предмет підозрілих транзакцій.

Компанія підкреслила, що мобільний додаток залишається безпечним і рекомендує його як основну платформу в майбутньому.

Загальний контекст та історичні прецеденти

Цей інцидент нагадує попередню уразливість Trust Wallet у листопаді 2022 року, пов’язану з кодом WebAssembly, що призвело до втрат приблизно $170 000. Тоді компанія повністю компенсувала постраждалих користувачів.

Поточний злом має значно більший масштаб, що піднімає питання про можливу компенсацію. На 26 грудня 2025 року Trust Wallet не оголосив про плани відшкодування, хоча громадськість наполягає на ясності.

Ця подія підкреслює постійні ризики, пов’язані з гаманцями на основі браузера, зокрема вразливості, що виникають під час оновлень. Вона також демонструє високий рівень майстерності сучасних зловмисників, які цілеспрямовано атакують популярні інструменти самостійного зберігання.

Наслідки для галузі

Ця атака є яскравим нагадуванням про важливість своєчасних оновлень, диверсифікації активів між платформами та пильного моніторингу транзакцій.

Зі зростанням популярності безкастодіальних гаманців, подібні інциденти, ймовірно, посилять увагу до безпеки у секторі — потенційно прискорюючи заклики до покращення аудиту, протоколів оновлення та освіти користувачів.

Trust Wallet продовжує розслідування і зобов’язується до прозорості у розвитку ситуації. Користувачам рекомендується залишатися напоготові та слідкувати за офіційними каналами для отримання останніх рекомендацій.