Сервис некастодиального криптовалютного кошелька Trust Wallet, являющийся дочерней структурой компании Binance, подвергся серьезной кибератаке. Злоумышленники внедрили вредоносный код в официальное расширение для браузера Google Chrome, что повлекло за собой финансовые потери в размере около 7 миллионов долларов. По данным блокчейн-расследователя ZachXBT, жертвами инцидента стали сотни пользователей, хотя общая база установок расширения насчитывает около 1 миллиона человек.
Уязвимость содержалась исключительно в версии программного обеспечения 2.68. Разработчики оперативно выпустили безопасное обновление 2.69 и призвали пользователей установить его в кратчайшие сроки. Инцидент не затронул пользователей мобильного приложения Trust Wallet, а также тех, кто использовал другие версии браузерных расширений, ограничив вектор атаки конкретной итерацией софта для Chrome.
Технический анализ, проведенный компанией по блокчейн-безопасности SlowMist, раскрыл сложную механику эксплойта. Вредоносный код перебирал все кошельки, сохраненные в расширении, и запрашивал мнемонические фразы. Эти данные, будучи зашифрованными, расшифровывались с использованием пароля или ключа доступа пользователя, введенного при разблокировке. Для сбора информации злоумышленники использовали posthog-js — библиотеку аналитики полного цикла с открытым исходным кодом.
Эксперты SlowMist установили, что источником проблемы стала модификация исходного кода внутри внутренней кодовой базы, затрагивающая логику аналитики, а не компрометация сторонних зависимостей, таких как пакеты npm. Трафик перенаправлялся на сервер, контролируемый хакерами. Данные уходили на конечную точку
Хронология событий указывает на то, что подготовка к атаке началась заблаговременно. Домен злоумышленников был зарегистрирован 8 декабря 2025 года. Предполагается, что до этой даты произошла компрометация устройств разработчиков или получение прав на развертывание кода. Первые запросы к вредоносному API начали поступать 21 декабря 2025 года, что ознаменовало начало активной фазы кражи активов.
Структура похищенных средств показывает, что основной удар пришелся на две главные криптовалюты: в Bitcoin было украдено около 3 миллионов долларов, и более 3 миллионов долларов было похищено в Ethereum. Потери в сети Solana составили незначительную сумму в 431 доллар. Для отмывания денег преступники использовали централизованные биржи (CEX) и кроссчейн-мосты, пытаясь замести следы транзакций.
Фирма PeckShield предоставила детальную разбивку движения средств. На кошельках хакеров осталось около 2,8 миллиона долларов в активах Bitcoin, EVM и Solana. Более 4 миллионов долларов было отправлено на централизованные площадки. Основной поток средств прошел через биржу ChangeNOW (около 3,3 миллиона долларов), также были задействованы KuCoin (около 447 000 долларов) и FixedFloat (около 340 000 долларов).
Команда Trust Wallet официально признала факт взлома через сообщение в социальной сети X (ранее Twitter) и предостерегла пользователей от общения вне официальных каналов. В заявлении компании говорится: «Мы гарантируем, что все пострадавшие пользователи получат возмещение». На данный момент сервис активно занимается финализацией процесса возврата средств пострадавшим клиентам.
Относительно виновников атаки выдвигаются различные теории. Соучредитель Binance Чанпэн Чжао предположил, что эксплойт, «скорее всего», был делом рук инсайдера, однако не предоставил конкретных доказательств. Специалисты SlowMist, в свою очередь, не исключают участие акторов, поддерживаемых на государственном уровне (nation-state actor), указывая на вероятность того, что хакеры получили полный контроль над устройствами разработчиков Trust Wallet.
Изображение носит иллюстративный характер
Уязвимость содержалась исключительно в версии программного обеспечения 2.68. Разработчики оперативно выпустили безопасное обновление 2.69 и призвали пользователей установить его в кратчайшие сроки. Инцидент не затронул пользователей мобильного приложения Trust Wallet, а также тех, кто использовал другие версии браузерных расширений, ограничив вектор атаки конкретной итерацией софта для Chrome.
Технический анализ, проведенный компанией по блокчейн-безопасности SlowMist, раскрыл сложную механику эксплойта. Вредоносный код перебирал все кошельки, сохраненные в расширении, и запрашивал мнемонические фразы. Эти данные, будучи зашифрованными, расшифровывались с использованием пароля или ключа доступа пользователя, введенного при разблокировке. Для сбора информации злоумышленники использовали posthog-js — библиотеку аналитики полного цикла с открытым исходным кодом.
Эксперты SlowMist установили, что источником проблемы стала модификация исходного кода внутри внутренней кодовой базы, затрагивающая логику аналитики, а не компрометация сторонних зависимостей, таких как пакеты npm. Трафик перенаправлялся на сервер, контролируемый хакерами. Данные уходили на конечную точку
api.metrics-trustwallet[.]com, связанную с основным доменом metrics-trustwallet[.]com. Хронология событий указывает на то, что подготовка к атаке началась заблаговременно. Домен злоумышленников был зарегистрирован 8 декабря 2025 года. Предполагается, что до этой даты произошла компрометация устройств разработчиков или получение прав на развертывание кода. Первые запросы к вредоносному API начали поступать 21 декабря 2025 года, что ознаменовало начало активной фазы кражи активов.
Структура похищенных средств показывает, что основной удар пришелся на две главные криптовалюты: в Bitcoin было украдено около 3 миллионов долларов, и более 3 миллионов долларов было похищено в Ethereum. Потери в сети Solana составили незначительную сумму в 431 доллар. Для отмывания денег преступники использовали централизованные биржи (CEX) и кроссчейн-мосты, пытаясь замести следы транзакций.
Фирма PeckShield предоставила детальную разбивку движения средств. На кошельках хакеров осталось около 2,8 миллиона долларов в активах Bitcoin, EVM и Solana. Более 4 миллионов долларов было отправлено на централизованные площадки. Основной поток средств прошел через биржу ChangeNOW (около 3,3 миллиона долларов), также были задействованы KuCoin (около 447 000 долларов) и FixedFloat (около 340 000 долларов).
Команда Trust Wallet официально признала факт взлома через сообщение в социальной сети X (ранее Twitter) и предостерегла пользователей от общения вне официальных каналов. В заявлении компании говорится: «Мы гарантируем, что все пострадавшие пользователи получат возмещение». На данный момент сервис активно занимается финализацией процесса возврата средств пострадавшим клиентам.
Относительно виновников атаки выдвигаются различные теории. Соучредитель Binance Чанпэн Чжао предположил, что эксплойт, «скорее всего», был делом рук инсайдера, однако не предоставил конкретных доказательств. Специалисты SlowMist, в свою очередь, не исключают участие акторов, поддерживаемых на государственном уровне (nation-state actor), указывая на вероятность того, что хакеры получили полный контроль над устройствами разработчиков Trust Wallet.
