Риск за вредоносным скриптом: как скрытый код захватил приватные ключи в Trust Wallet

Что такое скрипт и почему расширение Chrome Trust Wallet подверглось атаке с использованием вредоносного кода? Обновление v2.68, выпущенное 24 декабря, содержало подозрительную логику JavaScript, предназначенную для передачи секретов кошелька на внешние серверы. Исследователи обнаружили ссылки на файл под названием “4482.js” внутри затронутого пакета, подтвердив, что скрипт работал скрытно, чтобы избежать обнаружения.

Масштаб инцидента: от 6 до 7 миллионов долларов подтвержденных потерь

Позже Trust Wallet подтвердил, что примерно 7 миллионов долларов были украдены во время инцидента. Компания быстро отреагировала, выпустив версию v2.69 25 декабря в качестве меры устранения. Согласно отчетам жертв и исследователей, кражи начали проявляться через несколько часов после выпуска v2.68, вызывая публичные предупреждения о возможных масштабах компрометации.

Карточка расширения в Chrome Web Store показывает примерно 1 000 000 зарегистрированных пользователей, что задает теоретический предел для потенциальной экспозиции. Однако практическая уязвимость зависела от того, сколько пользователей ввели фразу семени, пока активна была скомпрометированная версия в их браузерах.

Кто находился под реальной угрозой: важность фразы семени

Исследователи подчеркнули, что наибольший риск затронул пользователей, которые импортировали или вводили фразу семени после установки v2.68. Фраза семени — это мастер-ключ, способный разблокировать все текущие и будущие адреса, производные от нее, что делает ее приоритетной целью любого злоумышленника.

Вредоносный скрипт был специально разработан для захвата таких чувствительных данных. Хотя другие компоненты расширения (мобильные версии и другие дистрибутивы) не были затронуты, версия для браузера Chrome сосредоточила всю экспозицию в течение уязвимого периода.

Шаги восстановления: обновление недостаточно, если ваша фраза была скомпрометирована

Это различие критично для пользователей. Обновление до v2.69 устраняет вредоносную логику скрипта, но не защищает активы автоматически, если фраза семени уже была передана злоумышленникам.

Для пользователей, вводивших фразу во время работы v2.68, стандартные шаги включают:

• Создать новый кошелек с полностью новой фразой семени
• Перевести все средства на новые адреса
• Отозвать разрешения токенов, где это возможно, в блокчейне
• Рассматривать любое устройство, управлявшее фразой, как потенциально скомпрометированное до подтверждения

Эти действия требуют значительных операционных затрат, включая комиссии за газ для нескольких транзакций между цепочками и риски, связанные с мостами активов в период миграции.

Модель доверия расширений: слабое место в безопасности экосистемы

Расширения браузера занимают уникальную и уязвимую позицию: они могут получать доступ к тем же интерфейсам, что и пользователи для проверки транзакций. Академические исследования показали, что вредоносные скрипты могут обходить автоматические проверки в Chrome Web Store, а эффективность систем обнаружения ухудшается со временем по мере эволюции тактик злоумышленников.

Инцидент подчеркивает необходимость внедрения более надежных средств контроля целостности сборки, включая воспроизводимые сборки, подписи разделенных ключей и четко задокументированные опции отката для чрезвычайных ситуаций.

Сценарии развития инцидента: прогнозы по окончательному масштабу

Общий объем потерь остается переменным, подверженным поздним обнаружениям жертв и переклассификации адресов в цепочке. Исследователи прогнозируют сценарии на ближайшие 2–8 недель:

Ключевые переменные включают, ограничилась ли утечка секретов только вводом фразы семени во время v2.68, выявлены ли дополнительные пути экспозиции, и скорость удаления имитирующих доменов, пытающихся обмануть пользователей, предлагая ложные решения.

Реакция рынка и немедленные рекомендации

Цена Trust Wallet Token (TWT) закрылась на $0.87, что отражает снижение на 2.24% за последние 24 часа, с внутридневным максимумом $0.90 и минимумом $0.86. Рынок отреагировал умеренной волатильностью, без одностороннего переоценивания.

Рекомендации для пользователей:

1. Немедленно отключите расширение v2.68, если оно еще установлено
2. Обновите до v2.69 из официального Chrome Web Store
3. Определите, вводили ли вы фразу семени во время работы v2.68 — это критический вопрос
4. Если да: перенесите средства на новый кошелек; если нет: обновление достаточно
5. Игнорируйте любые сообщения, не поступающие из официальных каналов Trust Wallet, так как мошенники пытаются выдавать себя за команду во время устранения уязвимости

Trust Wallet подтвердил свою приверженность возмещению всех пострадавших пользователей и скоро предоставит подробные инструкции по процессу восстановления.