Web3. Безопасность. Взлом TrustWallet расширения

Перевод Postmortem

Прозрачность и доверие пользователей - ключевые ценности Trust Wallet. Мы публикуем промежуточное обновление о том, что нам известно об инциденте на данный момент, какие действия уже предприняли и что следует делать пострадавшим пользователям.

Прежде чем перейти к деталям, хотим ясно сказать: мы глубоко сожалеем о потерях, беспокойстве и неудобствах, которые вызвал этот инцидент. Мы осознаём серьёзность ситуации и понимаем, насколько тревожной она стала для многих членов нашего сообщества.

С момента, когда нам стало известно о проблеме безопасности, команды Trust Wallet немедленно приступили к работе и круглосуточно занимаются локализацией инцидента, предотвращением дальнейших потерь, поддержкой пострадавших пользователей и тщательным расследованием причин произошедшего. Защита пользователей и предотвращение дополнительного ущерба были и остаются нашим высшим приоритетом.

Кроме того, мы рассматриваем этот инцидент не только как важный урок для Trust Wallet, но и как потенциальную точку перелома и урок для всей индустрии в контексте эволюционирующих атак на цепочки поставок (supply chain attacks).

Что произошло?

24 декабря 2025 года в Chrome Web Store была опубликована несанкционированная и вредоносная версия расширения Trust Wallet Browser Extension (версия 2.68), минуя наш стандартный процесс релиза (без обязательной проверки).

Эта версия содержала вредоносный код, который при запуске позволял злоумышленнику получать доступ к чувствительным данным кошелька и выполнять транзакции без авторизации.

Масштаб и последствия

Согласно нашему расследованию, данный инцидент затрагивает: только пользователей Trust Wallet Browser Extension версии 2.68, которые открывали расширение и входили в кошелёк в период с 24 по 26 декабря 2025 года.

Если вы получили push-уведомление в мобильном приложении Trust Wallet или видите баннер об инциденте безопасности в расширении Trust Wallet Browser Extension, возможно, вы всё ещё используете скомпрометированный кошелёк.

Обратите внимание: инцидент не затрагивает:

• пользователей мобильного приложения Trust Wallet;
• пользователей любых других версий расширения в указанный период;
• пользователей расширения v2.68, которые открывали и входили в кошелёк после 26 декабря 2025 года, 11:00 UTC;
• пользователей, которые не видят баннер об инциденте безопасности в расширении Trust Wallet Browser Extension.

Мы идентифицировали 2 520 адресов кошельков, пострадавших от данного инцидента и опустошённых злоумышленниками. Общий объём затронутых активов составляет примерно $8,5 млн, которые можно связать с 17 адресами, контролируемыми атакующим.

Важно отметить, что мы также обнаружили: эти же адреса злоумышленников опустошали кошельки, не связанные с Trust Wallet и данным инцидентом. Мы продолжаем отслеживать другие возможные пострадавшие адреса и опубликуем обновлённые данные после подтверждения.

Trust Wallet принял решение добровольно компенсировать потери пострадавшим пользователям. В настоящее время мы завершаем разработку процесса компенсации и проверки владения кошельками и уже начали работать с жертвами, которые связались с нами в последние дни.

Что следует сделать пострадавшим пользователям?

Если использовали Trust Wallet Browser Extension v2.68 в указанный период и входили в кошелёк:

1. Переведите средства из всех потенциально уязвимых кошельков в новый, только что созданный кошелёк, следуя нашим инструкциям.
2. Отправьте заявку на компенсацию через официальную форму поддержки:
   https://be-support.trustwallet.com.

Будьте осторожны с мошенниками и используйте только официальные каналы. Trust Wallet никогда не запрашивает приватные ключи, seed-фразы или пароли.

Мы понимаем, насколько стрессовой может быть эта ситуация для пострадавших пользователей, и просим вас о терпении, пока команда тщательно проверяет все обращения. Если вы пострадали и уже отправили форму, крайне важно сохранять конфиденциальность вашего кейса и взаимодействовать только с официальной службой поддержки Trust Wallet.

Процесс и статус компенсаций

После подтверждения инцидента и предоставления пользователям инструкций по защите средств от дальнейших атак мы запустили процесс приёма заявок на компенсацию.

Мы выявили 2 520 пострадавших адресов, которые можно достоверно связать с пользователями браузерного расширения Trust Wallet на момент инцидента. Параллельно мы получили более 5 000 заявок, что указывает на значительное количество дублирующих или ложных обращений, вероятно направленных на попытку получить компенсации вместо реальных жертв.

В связи с этим точная проверка владения кошельками является критически важной, чтобы средства были возвращены именно пострадавшим, а не злоумышленникам. Как и в аналогичных инцидентах в индустрии, не существует метода, позволяющего со стопроцентной уверенностью отличить жертв от недобросовестных заявителей. Поэтому мы действуем крайне осторожно и разрабатываем максимально строгий, проверяемый и аудируемый процесс в формате "best-effort".

Наша команда активно проверяет заявки, используя комбинацию различных данных для подтверждения их легитимности. Рассмотрение обращений ведётся в индивидуальном порядке, и сроки обработки могут различаться из-за сложности проверок и необходимости защиты от мошенничества. Мы будем продолжать публиковать обновления по мере продвижения процесса.

Также мы расширяем возможности службы поддержки, чтобы эффективнее справляться с объёмом работы, связанным с данным процессом.

Хронология инцидента и результаты расследования

На текущий момент наше расследование указывает на то, что вредоносная сборка браузерного расширения версии v2.68 была подготовлена атакующим самостоятельно и распространена через внешний метод публикации в Chrome Web Store с использованием утёкшего API-ключа.

Расследование точного вектора атаки и последовательности событий продолжается, однако мы с высокой степенью уверенности считаем, что инцидент с Browser Extension v2.68 вероятно связан с общеотраслевым инцидентом Sha1-Hulud в ноябре.

Мы полагаем, что в рамках того инцидента злоумышленник получил доступ к исходному коду браузерного расширения и API-ключу Chrome Web Store. Используя этот доступ, он смог подготовить модифицированную версию расширения с бэкдором, предназначенным для сбора чувствительных данных кошельков пользователей, и опубликовать её в Chrome Web Store с помощью утёкшего (CWS) API-ключа.

Ниже приведена подробная хронология событий.

Ноябрь 2025 года

• Sha1-Hulud, масштабный инцидент атак на цепочки поставок ПО, затронул множество компаний через скомпрометированные npm-пакеты.
• В ходе атаки были раскрыты секреты разработчиков Trust Wallet в GitHub, что дало злоумышленнику доступ к:
• исходному коду браузерного расширения;
• API-ключу Chrome Web Store (CWS).
• С помощью утёкшего ключа атакующий получил полный доступ к CWS API, что позволило загружать сборки напрямую, минуя стандартный процесс релиза Trust Wallet, который требует внутреннего одобрения и ручной проверки.

Декабрь 2025 года - подготовка атаки

• Атакующий зарегистрировал домен metrics-trustwallet.com (и поддомен api.metrics-trustwallet.com) с целью размещения вредоносного кода и встраивания ссылки на него в модифицированную версию Trust Wallet Browser Extension.
• Злоумышленник внешне подготовил и загрузил изменённую версию браузерного расширения, используя кодовую базу одной из предыдущих версий, доступ к которой был получен через раскрытые GitHub-секреты разработчиков.
• В эту версию была встроена ссылка на вредоносный код, размещённый на домене атакующего, предназначенный для сбора чувствительных данных кошельков пользователей.
• Это было реализовано без классической инъекции кода, так как атакующий имел прямой доступ к исходному коду расширения.
• Версия 2.68 была опубликована в Chrome Web Store на проверку с использованием утёкшего CWS-ключа.
• После прохождения автоматической проверки Chrome Web Store вредоносная версия была опубликована автоматически, обойдя внутренние процедуры проверки и утверждения Trust Wallet.

Декабрь 2025 года - реакция на инцидент

• 25 декабря впервые публично зафиксированы случаи опустошения кошельков.
• 0xAkinator и ZachXBT сообщили о проблеме и начали активно выявлять и отслеживать адреса кошельков атакующего.
• Партнёр Hashdit и внутренние системы Trust Wallet направили нам несколько тревожных уведомлений о подозрительной активности.
• Исследователи в области безопасности ("white-hats") инициировали DDoS-атаки с целью временно вывести из строя вредоносный домен атакующего api.metrics-trustwallet.com, что помогло сократить число новых жертв.
• Мы откатились к проверенной чистой версии 2.67, выпустив её как версию 2.69, и опубликовали срочные инструкции по обновлению, чтобы предотвратить дальнейшие потери.
• Мы объявили о решении компенсировать потери пострадавшим пользователям, запустили соответствующий процесс и продолжаем публиковать обновления о предпринимаемых действиях.
• Расследование и процесс компенсаций продолжаются.
• Мы уже начали усиление мер безопасности по всем направлениям, включая:
• контроль доступа;
• системы мониторинга;
• процесс публикации релизов;
• управление учётными данными;
• процессы реагирования на инциденты.

О Sha1-Hulud

Sha1-Hulud - это масштабная атака на программные цепочки поставок, затронувшая компании из разных отраслей, включая, но не ограничиваясь, криптоиндустрию.

Она заключалась во внедрении и распространении вредоносного кода через широко используемые инструменты разработки, что позволило злоумышленникам получать доступ через доверенные зависимости, а не атаковать отдельные организации напрямую.

Наше обязательство по безопасности

Безопасность имеет для нас первостепенное значение. Параллельно с расследованием мы активно работаем над следующими направлениями.

Реагирование на инциденты

Мы уже внедрили дополнительные меры защиты и контроля в отношении:

• релизов браузерного расширения;
• доступа к системам и инструментам релизов;
• мониторинга для предотвращения подобных инцидентов в будущем;
• дополнительного усиления безопасности.

Усиление существующих практик безопасности Trust Wallet

Мы также обращаем внимание на и усиливаем следующие практики:

• пайплайны публикации приложений, сканирование зависимостей, контроль версий и защита цепочек поставок;
• глобальные политики контроля доступа, управления и ротации учётных данных;
• прозрачность и аудитируемость процессов релизов и публикации для лучшего выявления аномалий;
• процессы обнаружения инцидентов, мониторинга, реагирования и коммуникации для более быстрых действий и большей прозрачности.

Наши действия и текущая работа

• После подтверждения инцидента команда оперативно выпустила чистую и безопасную версию (v2.69).
• Доступ к публикации и связанные API-ключи были отключены, а разрешения на деплой - ограничены в рамках локализации инцидента.
• Параллельно мы сотрудничали с партнёрами по блокчейн-аналитике и сообществом специалистов по безопасности для отслеживания движения средств и поддержки пострадавших пользователей.
• Чтобы защитить пользователей от путаницы и небезопасных действий, мы в первую очередь заменили уязвимую версию расширения на безопасную, прежде чем делать публичное объявление: это позволило пользователям безопасно обновиться и снизить риск дальнейших потерь.
• После выпуска версии v2.69 мы оперативно опубликовали официальные предупреждения и рекомендации.
• Вскоре после этого было принято решение о компенсации пострадавшим пользователям, и мы начали планирование соответствующего процесса.

Выводы Menaskop, или как избежать подобного?

Можно ли было избежать потерь вот в таком случае, когда атака произведена на то, чему ты доверяешь? Ответ короткий - да:

1. Прежде всего стоит вспомнить тот тезис, который всегда был базой: мы работаем в НЕ доверенной среде. И любое доверие - это минус, а не плюс.
2. На практике это означает, что средний чек в >$3k для большинства пользователей не допустим и хранить подобные сбережения точно стоит в связке (аппаратный кошелёк + программный).
3. Поэтому холодное хранение - не пустой звук, правда... для тех, кто уже понял и осознал возможные потери, но лучше учиться на ошибках других в подобных случаях, нежели на своих.
4. Собственно, на продвинутом уровне блок api.metrics-trustwallet.com и любого другого домена тоже возможен: но кто хочет что-то делать, когда всё в одной кнопке?
5. И, конечно же, обновления: обновляться - полезно и важно, но зачем это делать сразу? Да потому что люди привыкли бежать за новым iPhone в "первый день продаж" и вся их психология такова. А ведь лучше подождать, почитать про версию и лишь потом - делать обновление.

Конечно, можно было бы всё и это сделать и всё равно попасть на что-то негативное, но вероятность подобных событий куда ниже, чем инциденты на основе "тыкания кнопок".

Поэтому не устану повторять, что "абстракция аккаунта", помноженная на "абстракцию блокчейна" не даст конечному пользователю ничего, кроме ещё более массовых и частых атак: люди НЕ понимают как это устроено и теряют на этом много. Как и в банках, и в других местах: просто там данные об этом закрыты, а здесь, в блокчейне, открыты. Вот и вся разница.

И да, на более глубинном уровне эта атака для меня не просто говорит, А КРИЧИТ о том, что централизация магазинов приложений - то ещё "достижения", но это уже совсем др. история...

До!