Утечка данных из Trust Wallet Chrome: как вредоносный скрипт атаковал приватные ключи пользователей

В декабре прошлого года Trust Wallet подтвердил инцидент безопасности, связанный с зараженным расширением браузера Chrome версии 2.68. Вредоносный скрипт, встроенный в пакет, смог перехватывать конфиденциальные данные пользователей, включая seed-фразы и приватные ключи. Компания незамедлительно выпустила версию 2.69 25 декабря, однако потери уже имели место. По предварительным оценкам, пострадавшие пользователи потеряли от 6 до более чем 7 миллионов долларов, распределенных по нескольким блокчейнам.

Как проходила атака – невидимый код в JavaScript

Эксперты, анализирующие зараженный пакет версии 2.68, обнаружили подозрительную логику, содержащуюся в файлах JavaScript, особенно в файле с названием «4482.js». По словам исследователей, этот фрагмент кода был разработан для автоматической отправки секретов кошелька на внешние серверы. Скрипт работал в фоновом режиме, без ведома пользователя, и активировался в момент, когда человек вводил или импортировал seed-фразу в расширение.

Расширение кошелька находится в ключевой точке между веб-приложениями и процессами подписи транзакций. Это означает, что любой компромисс на этом уровне может привести к доступу к тем же входным данным, которые используют пользователи для верификации операций. Вредоносный скрипт использовал именно эту уязвимость в безопасности.

Кто был под угрозой – примерный масштаб жертв

Chrome Web Store показывает, что расширение Trust Wallet установило около 1 миллиона пользователей. Однако реальный масштаб инцидента был меньше – его размер зависит от того, сколько людей фактически установило версию 2.68 и вводило конфиденциальные данные во время ее работы.

Наибольший риск касался тех, кто:

• Установил зараженную версию 2.68
• Вводил или импортировал seed-фразу в этот временной промежуток
• Подтверждал транзакции через это расширение

Мобильные пользователи и другие версии расширения не были затронуты проблемой, что сузило круг угроз.

Что делать сейчас – шаги защиты для каждого пользователя

Достаточно не просто обновиться до версии 2.69. Хотя новая версия удаляет вредоносный код и предотвращает будущие атаки, она не защищает автоматически активы, если seed-фраза уже была раскрыта.

Чтобы обезопасить себя, выполните следующие шаги:

1. Проверьте, под угрозой ли вы:

• Устанавливали ли вы версию 2.68?
• Вводили ли вы или импортировали seed-фразу во время ее использования?

2. Если ответ «да»:

• Рассматривайте свою текущую seed-фразу как скомпрометированную
• Перенесите все средства на новый кошелек, созданный с новой seed-фразой
• Отмените все подтверждения токенов там, где это возможно

3. Обновите расширение:

• Немедленно отключите версию 2.68
• Установите версию 2.69 из Chrome Web Store
• Проверьте, что приложение исходит из официального источника

4. Дополнительные меры предосторожности:

• Любая система, которая контактировала с раскрытой seed-фразой, считается потенциально уязвимой
• Не отвечайте на личные сообщения от лиц, выдающих себя за команду Trust Wallet
• Избегайте копирования доменов с «fix» – мошенники массово распространяют фальшивые страницы исправлений

Перевод средств может быть связан с операционными затратами – особенно если у вас позиции на нескольких блокчейнах. Расходы на газ и риск мостинга между цепочками могут быть значительными, но безопасность должна быть приоритетом.

Реакция рынка – текущая цена TWT

Trust Wallet Token (TWT) отреагировал на инцидент относительно стабильно. Текущая цена колеблется около 0,88 USD, с дневным снижением на 2,19%. За последние 24 часа максимальная цена составила 0,90 USD, минимальная – 0,86 USD.

Рынок не показал резких движений, что говорит о том, что инвесторы ждут дальнейших сообщений от компании о возврате средств и полных деталях инцидента.

Оценка потерь – сценарий на следующие недели

Первоначальная оценка суммы потерь составила 6–7 миллионов долларов. Однако эта цифра может измениться по нескольким причинам:

• Задержки в сообщениях жертв
• Переклассификация on-chain адресов
• Лучшее отслеживание выплат cross-chain
• Возможное обнаружение дополнительных векторов атаки

Прогнозируемые сценарии на 2–8 следующих недель:

Что после инцидента – уроки для индустрии

Инцидент выявил структурные слабости в модели безопасности расширений браузеров. Академические исследования показали, что вредоносные или скомпрометированные расширения могут обходить автоматические проверки Chrome Web Store. Явление, известное как «дрейф концепции», означает, что тактики атакующих, колеблющиеся во времени, ослабляют эффективность статических методов защиты.

Индустрия сейчас кричит о:

• Повторных сборках исходного кода
• Подписании с разделением ключей
• Более прозрачных процедурах отката в случае аварийных исправлений
• Лучшей прозрачности аварийных отчетов

Trust Wallet заявил, что предоставит подробные инструкции по возврату средств пострадавшим пользователям. Первым шагом должно быть подтверждение, сколько именно пользователей было под угрозой, какие портфолио-данные были раскрыты вредоносным скриптом и какие были реальные пути утечки средств.

Итоговые рекомендации

Trust Wallet настоятельно повторяет рекомендации:

• Немедленно отключите версию 2.68
• Обновитесь до версии 2.69 из официального Chrome Web Store
• Если вы вводили seed-фразу в версии 2.68 – перенесите все средства
• Не доверяйте сообщениям из неофициальных каналов

Инцидент с вредоносным скриптом – напоминание о том, что никакая система – независимо от репутации – не является на 100% безопасной. Образование пользователей и осведомленность о рисках сегодня – лучшая защита от подобных атак.