Trust Wallet зазнав атаки через ланцюг постачання, вразливість розширення браузера спричинила збитки понад 6 мільйонів доларів

12月 25 日，主流 криптовалютний гаманець Trust Wallet підтвердив наявність серйозної вразливості у своєму браузерному розширенні версії 2.68, що вже призвело до крадіжки значної кількості коштів користувачів. Аналіз на блокчейні від детектива ZachXBT показав, що ця подія спричинила збитки щонайменше 600 мільйонів доларів США і торкнулася сотень жертв. Попереднє розслідування вказує, що вразливість виникла через зловмисне оновлення розширення, коли зловмисники шляхом вставки шкідливого коду викрадали конфіденційну інформацію під час імпорту мнемонічних фраз користувачами і швидко очищували гаманці. Наразі Trust Wallet терміново випустив виправлену версію 2.69 і рекомендує всім користувачам негайно оновитися. Ця подія знову нагадує про небезпеки самостійного зберігання активів у децентралізованих системах і підкреслює потенційні ризики у ланцюжку поставок програмного забезпечення у криптоекосистемі.

Огляд події: за одну ніч мільйони доларів зникли безвісти

З 24 по 25 грудня 2023 року для багатьох користувачів Trust Wallet це був день паніки. Під час різдвяних свят користувачі почали повідомляти у соцмережах, що після імпорту мнемонічних фраз у оновлене браузерне розширення Trust Wallet їхні активи були швидко виведені з гаманців. Це аномальне явище швидко привернуло увагу спільноти безпеки блокчейну, зокрема відомого детектива ZachXBT.

За допомогою слідкування та аналізу кількох повідомлень, ZachXBT виявив високу схожість у випадках крадіжки: усі вони трапилися після імпорту гаманця у версії розширення 2.68, а викрадені активи включали Bitcoin, Ethereum, BNB та токени на Solana. Швидкість переказу коштів була високою, без затримок, що свідчить про автоматизовану атаку, а не про помилкові дії користувачів або фішинг. Зі зростанням кількості жертв оцінки збитків зросли з початкових 2 мільйонів доларів до понад 6 мільйонів, а кількість постраждалих може сягати сотень.

У відповідь на зростаючий скепсис і паніку в спільноті, офіційний представник Trust Wallet 25 грудня опублікував заяву, підтвердивши факт інциденту. У ній зазначено, що проблема стосується лише версії розширення 2.68, мобільний додаток та інші версії розширень не постраждали. Команда закликає всіх користувачів, що використовують 2.68, негайно відключити або видалити це розширення і оновитися до виправленої версії 2.69 через офіційний Chrome Web Store. Хоча компанія підтвердила наявність вразливості і надала рішення, деталі технічної природи та причини залишилися не розкритими у перших повідомленнях, що викликало додаткові дискусії щодо прозорості безпеки.

Глибокий аналіз методів атаки: типова атака ланцюга поставок

Зі зворотним інжинірингом коду проблемної версії розширення, зловмисна стратегія стала більш очевидною. Це не була проста фішингова атака або зараження пристрою користувача, а ретельно спланована атака ланцюга поставок програмного забезпечення. Вона полягає у зараженні процесу розробки, оновлення або розповсюдження легітимного софту шляхом вставки шкідливого коду, що дозволяє атакувати всіх довірених користувачів, що завантажують цей софт.

У цьому випадку, вразливість була введена у версії 2.68 браузерного розширення Trust Wallet, що вийшла 24 грудня. Дослідники виявили, що у пакеті оновлення була вставлена шкідлива JavaScript-частина. Вона була маскувана під модуль збору аналітичних даних, щоб уникнути виявлення під час перевірки безпеки. Зловмисний код був спрямований на ключову операцію — імпорт мнемонічної фрази користувачем. Як тільки користувач виконував цю операцію, шкідливий скрипт безшумно передавав введену мнемоніку та інші конфіденційні дані у заздалегідь контрольований зловмисниками зовнішній домен.

Ще більш тривожно, що цей домен був ретельно спроектований так, щоб виглядати схожим на офіційну інфраструктуру Trust Wallet, що ускладнювало виявлення. За даними WHOIS, цей домен був зареєстрований незадовго до атаки і після збору даних швидко знятий з онлайну, що свідчить про чіткий план дій з боку зловмисників і їхню обережність у протидії виявленню. Тому, якщо користувач імпортував мнемоніку у заражену версію 2.68, він фактично передав ключі до свого сейфу зловмисникам, і подальші перекази вже контролювалися зловмисниками.

Важливі дані та ланцюг атаки

Щоб краще зрозуміти масштаб події, наведемо ключові етапи та дані атаки:

Час впровадження вразливості: 24 грудня 2023 року (реліз версії 2.68)

Активний період атаки: 24 — 25 грудня 2023 року

Підтверджена сума збитків: понад 600 мільйонів доларів (з аналізу ZachXBT)

Основні активи під атакою: Bitcoin, Ethereum, BNB, токени на Solana

Стратегія зловмисників: швидкий переказ коштів через кілька проміжних адрес, використання міксінгу для ускладнення відстеження

Час реагування офіційних структур: від попередження спільноти до підтвердження і випуску виправлення (2.69) — близько 24 годин

Інструкції для користувачів та роздуми щодо безпеки

Для користувачів, які вже використовували версію 2.68 розширення, першочерговим є негайне вжиття заходів для зменшення ризику втрат. Насамперед, потрібно відключити або повністю видалити розширення Trust Wallet версії 2.68 у браузері. Потім завантажити та встановити офіційно підтверджену версію 2.69 через Chrome Web Store. Trust Wallet наголошує, що до завершення оновлення не слід знову відкривати розширення. Для мобільних користувачів цей інцидент не впливає на додатки, але підтримка актуальності версії — хороша практика безпеки.

Що стосується тих, хто імпортував мнемоніку у вразливій версії, ситуація ускладнюється тим, що мнемоніка могла бути скомпрометована. Всі адреси, створені з цією мнемонікою, слід вважати “зараженими”. Найрадикальніший захід — негайно переказати активи на новий гаманець, створений з нової, ніколи не використовуваної у зараженій версії мнемоніки. Це означає створення нового гаманця і ручний переказ активів. Це трудомісткий, але важливий крок. Якщо активи вже вкрадені, користувачі мають звернутися до офіційної підтримки Trust Wallet і зберегти всі транзакційні хеші (TxID) для подальшого розслідування або юридичних дій.

Цей інцидент у Trust Wallet значно перевищує звичайне витікання приватних ключів — він глибоко підкреслює один із слабких місць у децентралізених фінансах (DeFi) і системах самостійного зберігання: залежність від централізованих каналів розповсюдження програмного забезпечення. Навіть якщо гаманець є некастодіальним і децентралізованим, оновлення клієнтського софту (браузерних розширень, мобільних додатків) залежить від Google Play, Apple App Store або офіційних серверів розробників. Злом цього ланцюга ставить під загрозу всіх користувачів. Це вимагає від проектів впровадження суворих код-рев’ю та моніторингу безпеки ланцюга поставок, а користувачам — бути обережними з будь-якими оновленнями, утримуватися від швидкого оновлення і слідкувати за відгуками спільноти.

Висновки щодо безпеки у криптоіндустрії: від індивідуального захисту до системної відповідальності

Цей випадок у Trust Wallet — не лише окрема криза безпеки, а й тест для всієї криптоіндустрії. Він знову нагадує, що “не твій ключ — не твої криптовалюти” — це не просто слова, а відповідальність. Самостійне зберігання активів дає повний контроль, але вимагає високої обізнаності та практики безпеки. Користувачам потрібно усвідомлювати, що мнемоніка — це найважливіший захист активів, і її ніколи не слід вводити у підозрілі або незахищені середовища.

З іншого боку, інфраструктурні провайдери мають відповідальність за безпеку своїх продуктів. Гаманець — це вхід у світ криптовалют, і його безпека має бути на найвищому рівні: багатозначний підпис, довгострокові аудити, програми винагород за виявлення вразливостей і чіткі протоколи реагування. Виправлення помилок — це не лише реакція, а й превентивний підхід у всьому життєвому циклі розробки.

Майбутнє, ймовірно, за апаратними гаманцями та “розумними” гаманцями з функціями відновлення. Апаратні пристрої із ізольованими ключами зменшують ризик крадіжки мнемонік через софт. Блокчейн-інтеграція з механізмами відновлення (social recovery) дозволяє повернути доступ у разі втрати або компрометації приватних ключів. Технології постійно вдосконалюються, і кожна велика безпекова криза має стати поштовхом до створення більш надійної, зручною та безпечної інфраструктури. Для користувачів важливо не лише сумувати за втраченим, а й використовувати цей досвід для підвищення рівня власної безпеки та обізнаності.