Trust Wallet Різдвяний пограбунок! ZachXBT попереджає, що після оновлення Chrome колективно були вкрадені дані

12月 25 日 святого Різдва, кілька користувачів Trust Wallet прокинулися і виявили, що їхні кошельки були несанкціоновано зняті, сума збитків невідома. Блокчейн-розслідувач ZachXBT у Telegram-чаті терміново оголосив про інцидент, зазначивши, що ці крадіжки трапилися після оновлення розширення Trust Wallet для Chrome 24 грудня, що викликає високий рівень підозр.

Таймлайн святкової атаки: ідеальний шторм за 24 години

Хронологія подій показує, що атака була ретельно спланована. У ніч перед Різдвом, 24 грудня, Trust Wallet оновив розширення для Chrome Web Store, більшість користувачів автоматично або вручну оновили його під час святкової атмосфери. Ранком 25 грудня, приблизно з ранку до полудня за східним часом США, перші жертви виявили незвичайний переказ коштів. Після отримання кількох повідомлень ZachXBT у Telegram о 12:00 за місцевим часом зробив публічне попередження, закликаючи користувачів Trust Wallet перевірити свої гаманці.

Вибір часу для атаки не є випадковим. Під час свят команда розробників працює менше, служба підтримки реагує повільніше, а користувачі менш насторожені, що створює ідеальні умови для зловмисників. Подібна стратегія вже застосовувалася у 2022 році під час атаки на гаманці Slope, коли зловмисники використали вихідні дні для крадіжки коштів понад 8 000 Solana-гаманців. Тиша з боку Trust Wallet ще більше посилила паніку: користувачі скаржилися у соцмережах, що не можуть зв’язатися з офіційною підтримкою для отримання ясної відповіді.

ЗахXBT у попередженні особливо підкреслив, що «точна причина ще не встановлена», але вказав на оновлення Chrome-розширення. Ця деталь є надзвичайно важливою, оскільки вона переводить розслідування з особистих помилок користувачів на системні вразливості. Якщо підтвердиться, що проблема саме у розширенні, Trust Wallet може стикнутися з серйозними юридичними та репутаційними ризиками. Зараз ZachXBT збирає адреси постраждалих гаманців, намагаючись простежити за потоком крадених коштів і виявити схему атаки.

Chrome-розширення: троянський кінь для криптогаманців

Високі привілеї браузерних розширень роблять їх ідеальною ціллю для зловмисників. Розширення Chrome може читати і змінювати весь вміст веб-сторінок, які ви відвідуєте, перехоплювати запити, вставляти будь-який скрипт і навіть отримувати доступ до локального сховища. Для криптогаманців ці дозволи означають, що вони можуть: захоплювати введені користувачем мнемонічні фрази і приватні ключі, змінювати цільові адреси і суми транзакцій, перехоплювати підписувані запити і підмінювати дані транзакцій, а також отримувати доступ до зашифрованих сесій у браузері.

Фахівці з безпеки неодноразово попереджали, що зловмисне оновлення або підміна залежностей може поставити під загрозу мільйони користувачів. У листопаді 2023 року популярна бібліотека «Ledger Connect Kit» була зламаною, що вплинуло на кілька DeFi-фронтендів і спричинило збитки понад 480 000 доларів. Ця атака довела силу ланцюгових атак: зловмисники не обов’язково мають проникнути безпосередньо у додаток гаманця, достатньо контролювати його залежності.

Три системні ризики браузерних гаманців

Механізм автоматичного оновлення: розширення за замовчуванням оновлюється автоматично, користувачі не можуть перевірити зміни у коді і змушені приймати нову версію

Зловживання дозволами: легальні розширення можуть у процесі оновлення додати шкідливий код, використовуючи вже надані широкі дозволи для крадіжки активів

Вразливості ланцюга залежностей: якщо сторонні бібліотеки, на які покладається гаманець, будуть зламані, це вплине на всі downstream-додатки без відома користувачів

За останні місяці з’явилися кілька подібних загроз. Звіти безпекових компаній свідчать, що деякі фальшиві розширення для гаманців спеціально створені для крадіжки мнемонічних фраз, зловмисники використовують ці фрази для повного відновлення гаманця і подальшого крадіжки коштів. Більш приховані атаки здійснюються через шкідливі «помічники» для транзакцій, які тихо змінюють інструкції транзакцій, крадучи невеликі суми криптовалюти щоразу, коли користувач підтверджує обмін, оскільки суми малі і зазвичай залишаються непоміченими.

Посібник для постраждалих і порятунок активів

Для користувачів Trust Wallet, які підозрюють, що їхній гаманець був зламаний, час має вирішальне значення. Перш за все, потрібно негайно перевірити історію транзакцій за останні 48 годин, особливо звернути увагу на будь-які несанкціоновані перекази токенів, взаємодії з контрактами або підписані дозволи. Якщо знайдені підозрілі транзакції, слід негайно зробити наступне: відключити розширення Trust Wallet для Chrome, зайти на chrome://extensions і вимкнути або видалити його; скасувати всі дозволи DeFi, використовуючи Revoke.cash або функцію Token Approvals на Etherscan; створити новий гаманець, використовуючи нову мнемонічну фразу, а не відновлювати з старого; переказати залишки активів на новий гаманець, але переконатися, що пристрій не під контролем зловмисників.

ZachXBT рекомендує постраждалим активно звертатися до правоохоронних органів і надавати детальні записи транзакцій. Хоча розкриття криптовалютних крадіжок є складним, створення офіційної документації важливо для можливих колективних позовів або страхових вимог у майбутньому. Також рекомендується повідомляти про інцидент у Telegram-чат ZachXBT або відповідних спільнотах, надаючи інформацію про викрадені суми і адреси гаманців, щоб допомогти слідчим побудувати повну картину атаки.

Для користувачів, які ще не постраждали, профілактичні заходи включають: тимчасово припинити використання Chrome-розширень, перейти на мобільний додаток або апаратний гаманець; перевірити і скасувати непотрібні дозволи для DeFi-контрактів; утриматися від підписання нових транзакцій або дозволів до з’ясування ситуації; регулярно робити резервні копії мнемонічних фраз і зберігати їх у офлайн-режимі; розглянути можливість переказу великих сум на апаратний гаманець, наприклад Ledger або Trezor.

Відсутність офіційної реакції Trust Wallet викликає кризу довіри

На момент публікації Trust Wallet ще не оприлюднив офіційної заяви щодо причин оновлення Chrome-розширення або надання технічних деталей і компенсаційних заходів. Така мовчанка викликала обурення у криптоспільноті. Користувачі на платформах X і Reddit скаржаться, що не можуть зв’язатися з підтримкою, офіційні акаунти ігнорують інцидент, а замість цього продовжують публікувати святкові привітання, що різко контрастує з тривогою постраждалих.

Trust Wallet — це криптогаманець, що належить Binance, і нібито має мільйони користувачів. Якщо цей масштабний інцидент підтвердиться, це може завдати серйозного удару по її ринковій репутації. У 2022 році, після витоку приватних ключів, кількість користувачів Slope Wallet знизилася більш ніж на 70%, і досі не відновилася. Якщо Trust Wallet не зможе швидко і прозоро вирішити цю кризу, вона може опинитися у подібній ситуації.