Рождественский взлом Trust Wallet: уязвимость расширения v2.68
Назад к новостям

Рождественский взлом Trust Wallet: уязвимость расширения v2.68

В период с 24 по 26 декабря 2025 года экосистема Trust Wallet столкнулась с серьезной атакой через цепочку поставок (supply chain attack). Злоумышленникам удалось скомпрометировать официальное расширение для браузера Chrome, что привело к хищению цифровых активов на сумму около $7 млн.

Как произошел взлом

Инцидент начался 24 декабря в 12:32 UTC, когда в Chrome Web Store была загружена вредоносная версия v2.68.0.

  • Механизм атаки: Хакеры получили доступ к API-ключам разработчиков и внедрили вредоносный код непосредственно в логику аналитики приложения.

  • Эксфильтрация данных: Вредонос перехватывал мнемонические фразы (seed-фразы) и приватные ключи в момент авторизации пользователя, после чего отправлял их на серверы злоумышленников, используя легитимную библиотеку PostHog в качестве прикрытия.

  • Масштаб: По данным ончейн-детектива ZachXBT, пострадали сотни пользователей, чьи кошельки были опустошены почти мгновенно после входа в систему.

Важно: Мобильное приложение Trust Wallet (iOS/Android) и другие версии расширения (кроме 2.68) не пострадали.

Реакция Чанпена Чжао (CZ) и компенсации

Основатель Binance Чанпен Чжао, чей фонд владеет Trust Wallet с 2018 года, оперативно отреагировал на инцидент.

  • Статус SAFU: CZ подтвердил, что средства пользователей находятся под защитой, и компания полностью возместит все подтвержденные потери на сумму $7 млн.

  • Процесс возврата: Команда Trust Wallet уже начала связываться с пострадавшими через официальные каналы для верификации ущерба и выплаты компенсаций.

Срочная инструкция для пользователей

Если вы использовали браузерное расширение Trust Wallet в период с 24 по 26 декабря, выполните следующие шаги:

  1. Проверьте версию: Зайдите в chrome://extensions и найдите Trust Wallet. Если версия 2.68, немедленно выключите ее.

  2. Обновитесь до v2.69: Это безопасная версия, в которой вредоносный код удален.

  3. Смените кошелек: Если вы входили в версию 2.68, ваша seed-фраза считается скомпрометированной. Создайте новый кошелек на версии 2.69 и переведите туда оставшиеся средства.

  4. Свяжитесь с поддержкой: Если ваши средства уже пропали, подайте заявку через официальный тикет-центр Trust Wallet для включения в программу компенсации.