Объяснение взлома TrustWallet: от обновления до сливов кошелька на сумму $16M в $TWT, BTC, ETH

Что именно произошло в инциденте с Trust Wallet

Шаг 1: Был выпущен новый обновление расширения браузера

24 декабря было выпущено новое обновление для расширения Trust Wallet.

• Обновление казалось рутинным.

• Не было никаких серьезных предупреждений о безопасности.

• Пользователи устанавливали его через обычный процесс обновления.

На этом этапе ничего не казалось подозрительным.

Шаг 2: В расширение был добавлен новый код

После обновления исследователи, изучающие файлы расширения, заметили изменения в JavaScript-файле, известном как 4482.js.

Ключевое наблюдение:

• Новый код не присутствовал в предыдущих версиях.

• Он вводил сетевые запросы, связанные с действиями пользователя.

Это важно, потому что браузерные кошельки — очень чувствительная среда; любой новый исходящий логика представляет высокий риск.

Шаг 3: Код маскировался под «Аналитику»

Добавленная логика выглядела как аналитический или телеметрический код.

Конкретно:

• Он напоминал трекинг-логику, используемую популярными SDK аналитики.

• Он не активировался постоянно.

• Он активировался только при определённых условиях.

Эта конструкция усложняла обнаружение при случайных тестах.

Шаг 4: Условие срабатывания — импорт фразы сид

Обратное проектирование сообщается, что логика срабатывала, когда пользователь импортировал фразу сид в расширение.

Почему это критично:

• Импорт фразы сид дает кошельку полный контроль.

• Это однократный, высокоценный момент.

• Любой вредоносный код нужен только один раз.

Пользователи, использующие только существующие кошельки, могли не активировать этот сценарий.

Шаг 5: Данные кошелька отправлялись внешне

Когда срабатывало условие, код якобы отправлял данные на внешний сервер:

metrics-trustwallet[.]com

Что вызвало тревогу:

• Домен выглядел очень похоже на легитимный поддомен Trust Wallet.

• Он был зарегистрирован всего за несколько дней до этого.

• Он не был публично задокументирован.

• Позже он перестал работать.

По крайней мере, это подтверждает наличие неожиданных исходящих коммуникаций из расширения кошелька.

Шаг 6: Атакующие действовали немедленно

Вскоре после импорта фразы сид пользователи сообщили:

• Кошельки были опустошены за считанные минуты.

• Быстро перемещались несколько активов.

• Не требовалось дальнейшее взаимодействие пользователя.

Поведение в блокчейне показало:

• Автоматические шаблоны транзакций.

• Множество адресов назначения.

• Отсутствие очевидного процесса подтверждения фишинга.

Это говорит о том, что у злоумышленников уже был достаточный доступ для подписи транзакций.

Шаг 7: Средства консолидировались по нескольким адресам

Украденные активы маршрутизировались через несколько кошельков, контролируемых злоумышленниками.

Почему это важно:

• Это указывает на координацию или автоматизацию.

• Это снижает зависимость от одного адреса.

• Это соответствует поведению организованных эксплойтов.

Оценки, основанные на отслеживаемых адресах, предполагают перемещение миллионов долларов, хотя итоговые суммы варьируются.

Шаг 8: Домен перестал отвечать

После увеличения внимания:

• Подозрительный домен перестал отвечать.

• Немедленно не последовало публичных объяснений.

• Скриншоты и кешированные доказательства стали ключевыми.

Это соответствует тактике злоумышленников — уничтожить инфраструктуру после обнаружения.

Шаг 9: Позднее последовало официальное признание

Trust Wallet позже подтвердил:

• Что инцидент с безопасностью затронул конкретную версию расширения браузера.

• Мобильные пользователи не пострадали.

• Пользователям рекомендуется обновить или отключить расширение.

Однако сразу не было предоставлено полного технического анализа, чтобы объяснить:

• Почему существовал этот домен.

• Были ли раскрыты фразы сид.

• Был ли это внутренний, сторонний или внешний инцидент.

Этот пробел подпитывал продолжающиеся спекуляции.

Что подтверждено

• Обновление расширения браузера привело к появлению нового исходящего поведения.

• Пользователи потеряли средства вскоре после импорта фраз сид.

• Инцидент был ограничен конкретной версией.

• Trust Wallet признал проблему безопасности.

Что сильно подозревается

• Проблема в цепочке поставок или внедрение вредоносного кода.

• Раскрытие фраз сид или возможности подписи.

• Злоупотребление аналитической логикой или её использование в злонамеренных целях.

Что все еще неизвестно

• Был ли код намеренно вредоносным или скомпрометированным на upstream.

• Сколько пользователей пострадало.

• Были ли украдены другие данные.

• Точное attribution злоумышленников.

Почему этот инцидент важен

Это был не типичный фишинг.

Он подчеркивает:

• Опасность расширений браузера.

• Риск слепо доверять обновлениям.

• Как аналитический код может быть использован в злонамеренных целях.

• Почему обработка фраз сид — самый критический момент в безопасности кошелька.

Даже кратковременная уязвимость может иметь серьезные последствия.