Хакването на разширението на Trust Wallet за $7 милиона: Всичко, което трябва да знаете

Доверете се на Wallet потвърди че злонамерена актуализация на официалното разширение за браузъра Chrome е довела до кражба на около 7 милиона долара потребителски средства. Пробивът е засегнал само една версия на разширението, версия 2.68, и е включвал хакери, крадящи ключови фрази за портфейли чрез вграден злонамерен код. Според докладите, мобилните потребители и другите версии на браузърите не са били засегнати.

Какво се случи при хакването на разширението Trust Wallet?

Инцидентът започна на 24 декември 2025 г., когато Trust Wallet пусна версия 2.68.0 на своето разширение за Chrome. В началото потребителите съобщаваха за отделни загуби. Портфейлите бяха източени скоро след като бяха достъпни или импортирани чрез разширението. Това, което изглеждаше като изолирани случаи, бързо насочи към по-широк проблем.

На Коледа, разследващият онлайн ZachXBT , издадено публично предупреждение, докато откраднатите средства все още се движеха по веригата. Той свърза изтичането на средства от портфейла директно с актуализацията v2.68. Неговият анализ помогна да се установи, че това не е потребителска грешка или фишинг, а компрометирано разширение на браузъра.

До 26 декември Trust Wallet потвърди пробива. Компанията заяви, че е засегната само версия 2.68 и призова потребителите незабавно да обновят до версия 2.69. Разширението за Chrome има около един милион потребители, според списъка в Chrome Web Store.

По-късно Trust Wallet потвърди, че приблизително 7 милиона долара в цифрови активи са били откраднати в множество блокчейни.

Кои потребители бяха засегнати?

Само потребители, които са инсталирали или са влезли в разширението за Chrome версия 2.68 на Trust Wallet преди 26 декември в 11:00 ч. UTC, са били изложени на риск.

Според Trust Wallet и изследователи по сигурността:

• Потребителите на мобилни приложения не са засегнати
• Други версии на разширенията на браузъра не бяха засегнати
• Портфейлите, достъпни чрез версия 2.68, могат да бъдат напълно компрометирани

В много случаи портфейлите са били изпразнени в рамките на минути след отключване на разширението или импортиране на seed фраза. Стотици портфейли са били засегнати, включително адреси на Bitcoin, Ethereum и Solana.

Главният изпълнителен директор на Trust Wallet, Еовин Чен, потвърди, че потребителите, които са влезли в системата през засегнатия период, трябва да приемат, че портфейлите им са били открити и да генерират нови.

Как работеше злонамереният код?

Според фирма за блокчейн сигурност Бавна мъгла, атаката не е била причинена от злонамерена библиотека на трета страна. Вместо това. Нападателят е променил директно собствения код на разширението на Trust Wallet. Злонамерената логика е била вградена в аналитичния компонент на разширението.

Открийте обещаващи проекти...

Перспективни проекти...

(Реклама)

Статията продължава...

Ето как работи:

• Кодът итерира през всички портфейли, съхранени в разширението
• Това задейства заявка за мнемонична фраза за всеки портфейл
• Когато потребителите отключиха портфейла, криптираната seed фраза беше дешифрирана
• Дешифрираната мнемоника е изпратена до контролиран от нападател сървър

Данните са били изтеглени до api.metrics-trustwallet[.]com. Домейнът е регистриран на 8 декември 2025 г. Заявките към сървъра са започнали на 21 декември, дни преди публикуването на злонамерената актуализация.

Атакуващият е използвал легитимна аналитична библиотека с отворен код, наречена posthog-js, като прикритие. Вместо да изпраща данни към правилната аналитична крайна точка, трафикът е бил пренасочен към сървъра на атакуващия.

SlowMist заяви, че това е вътрешен компрометиращ код, а не отровена зависимост.

Как е публикувано компрометираното разширение?

Вътрешното разследване на Trust Wallet откри критичен провал в процеса на пускане на софтуера. Според главния изпълнителен директор Еовин Чен, за публикуването на злонамерената версия е бил използван изтекъл ключ за API на уеб магазина на Chrome.

Компрометираното разширение е качено на 24 декември в 12:32 ч. UTC. Това заобикаля нормалните вътрешни проверки на Trust Wallet.

Това показва, че нападателят не е експлоатирал потребителите директно. Вместо това е използвал дистрибуторска инфраструктура. Атаки срещу веригата за доставки като тази са по-трудни за откриване, защото софтуерът изглежда официален и надежден.

Колко е откраднато и къде отидоха средствата?

Trust Wallet и независими изследователи оценяват общите загуби на около 7 милиона долара.

Разбивката на известните откраднати активи включва:

• Около 3 милиона долара в Bitcoin
• Повече от 3 милиона долара в Ethereum
• По-малки количества в Солана и други активи

Според PeckShield и ZachXBT, откраднатите средства бяха бързо изпрани.

Ключовите движения включват:

• Около 3.3 милиона долара са изпратени на ChangeNOW
• Около 340 000 долара са изпратени към FixedFloat
• Приблизително 447 000 долара са изпратени до KuCoin

Повече от 4 милиона долара преминаха през централизираните борси. Към последната актуализация около 2.8 милиона долара останаха в портфейли, контролирани от нападателя.

Този модел отразява други случаи на компрометиране на портфейли, при които нападателите използват услуги за незабавен обмен и мостове, за да намалят проследимостта.

План за отговор и компенсация на Trust Wallet

Trust Wallet предложи бързо решение. Версия 2.69 беше пусната на 25 декември, за да премахне злонамерения код. Потребителите бяха призовани незабавно да деактивират версия 2.68.

Компанията също така стартира официална програма за компенсации.

Засегнатите потребители могат да подават искове чрез официален формуляр за поддръжка на уебсайта на Trust WalletПроцесът изисква:

• E-mail
• Държава на пребиваване
• Компрометирани адреси на портфейли
• Нападателят получава адреси
• Съответни хешове на транзакциите

Trust Wallet заяви, че всяко искане ще бъде проверено индивидуално.

„Работим денонощно, за да финализираме детайлите на процеса по обезщетяване и всеки случай изисква внимателна проверка, за да се гарантира точност и сигурност“, заявиха от компанията.

Чанпенг Джао, съосновател и бивш изпълнителен директор на Binance, която придоби Trust Wallet през 2018 г., потвърди, че загубите ще бъдат покрити.

Защо този хак е важен за сигурността на портфейла

Този инцидент подчертава повтарящ се риск в криптовалутите. Дори портфейлите без попечителство зависят от каналите за разпространение на софтуер. Когато тези канали се провалят, потребителите могат да загубят всичко.

Хакването на Trust Wallet следва по-широк модел, наблюдаван в цялата индустрия. По-рано тази година Coinbase разкри, че ще възстанови над 400 милиона долара след отделно нарушение, свързано с подкупен помощен персонал в Индия.

Различни методи за атака, един и същ резултат. Доверителните предположения се разпадат по краищата.

За потребителите това подсилва основните правила за сигурност:

• Третирайте разширенията на браузъра като високорисков софтуер
• Актуализирайте незабавно, когато бъдат публикувани корекции
• Преместете средства, ако портфейлът може да е компрометиран
• Никога не използвайте повторно откритите начални фрази.

За доставчиците на портфейли урокът е за сигурността на пускането на пазара. API ключовете, каналите за изграждане и идентификационните данни за магазините вече са основни цели за атаки.

Заключение

Хакването на разширението Trust Wallet на стойност 7 милиона долара е резултат от компрометиране на веригата за доставки, а не от потребителска грешка. Злонамерен код, вграден във версия 2.68 на разширението за Chrome, е събирал seed-фрази и е източвал портфейли в множество блокчейни. 

Rust Wallet реагира, като премахна засегнатата версия, пусна корекция и се ангажира с пълно възстановяване на разходите. Инцидентът подчертава как разширенията на браузъра остават критична повърхност за атака в криптовалутите и защо както потребителите, така и разработчиците трябва да се отнасят към сигурността на дистрибуцията толкова сериозно, колкото и към управлението на частни ключове.

Ресурси

1. Доверете се на портфейла на XСъобщение от 26 декември

2. Публикация на Slowmist на XДоклад за експлойт на Trust Wallet

3. Публикация на PeckShield на XЕксплоатация на Trust Wallet