Дорогие читатели блога! Представьте: вы открываете кошелёк после праздников, а там - пусто. Миллионы долларов испарились за считанные минуты. Именно это произошло с сотнями пользователей Trust Wallet в конце этой недели. Популярный некастодиальный кошелёк, которым пользуются более 220 миллионов человек, стал жертвой серьёзной уязвимости в браузерном расширении. Общий ущерб - около $7 млн в BTC, ETH, SOL и других активах. Как это случилось и почему даже "надёжный" кошелёк не защитил пользователей?
Итак, что же произошло?
Хакеры взломали обновление расширения. Инцидент начался 24–25 декабря 2025 года. Проблема затронула исключительно версию 2.68 браузерного расширения Trust Wallet для Chrome. Мобильное приложение и другие версии остались в безопасности. По данным ончейн-детектива ZachXBT и аналитиков, в обновлении появился вредоносный код. Он незаметно перехватывал сид-фразы при импорте или доступе к кошельку. Как только пользователь вводил фразу, так сразу же хакеры получали полный контроль и мгновенно выводили средства на свои адреса. Это классическая supply-chain атака: злоумышленники скомпрометировали процесс обновления, возможно, через утечку учётных данных разработчика или внутренний доступ (CZ Binance намекнул на возможную причастность сотрудника компании). Средства дренились молниеносно - часто в течение нескольких минут после открытия авторизации в расширении.
Атака затронула активы в EVM сетях (Ethereum, BNB, Arbitrum, Optimism и т.д.), а также Bitcoin и Solana. Стоит отметить, что Trust Wallet довольно быстро отреагировал на атаку: 25 декабря они опубликовали предупреждение в X (Twitter), порекомендовав отключить версию 2.68 и затем обновиться до новой версии 2.69 через официальный Chrome Web Store. Мобильные пользователи не пострадали. Также помимо обновления ПО, компания обязуется полностью компенсировать потери. На данный момент ведётся расследование в ходе которого мы получим ответ на вопрос: "Как хакерам удалось загрузить вредоносную версию в магазин приложений?"
Это не первый случай в крипте, но у Trust Wallet довольно образцовая реакция. В отличие от некоторых проектов, здесь не стали игнорировать проблему, а сразу заявисли о покрытии убытков.
Как этого можно было избежать?
Горячие кошельки (hot wallets), особенно браузерные расширения, уязвимы к таким атакам. Они удобны для ежедневных операций, но хранить крупные суммы там - рискованно. Браузерные расширения работают в среде с высокими правами, и один компрометированный апдейт может стоить миллионов. Решение простое: используйте аппаратный кошелёк (hardware wallet) для подтверждения транзакций. Подключите Ledger, Trezor или аналог к Trust Wallet (или другому софтовому кошельку). Т.к. сид-фраза хранится оффлайн на устройстве, то даже в том случае, если расширение или приложение скомпрометировано, транзакцию нужно физически подтвердить на аппаратном кошельке. Поэтому хакер не сможет подписать её без вашего участия.
Если бы пострадавшие использовали аппаратный кошелек в связке с Trust Wallet, то кражи бы не произошло, т.к. вредоносный код не смог бы подписывать транзакции самостоятельно.
Какой можно сделать вывод из всей этой истории?
Безопасность превыше удобств! Этот инцидент - это болезненное напоминание, что в крипте действует правило "не ваши ключи - не ваши монеты", но даже с ключами риски остаются, если не использовать предохранитель с виде мультисиг или аппаратного кошелька. Trust Wallet оперативно исправил уязвимость и компенсирует потери, что укрепляет доверие. Но в следующий раз хакеры могут ударить по другому кошельку. И пользователям уже может так не повезти.
Поэтому не забываем, что крипта дает не только свободу, но и требует ответственного отношения!
