📌 Пользователи Trust Wallet потеряли криптовалюту на сумму более $6–7 млн USD в результате инцидента, связанного с браузерным расширением Trust Wallet (Chrome). Деньги выводились с кошельков без подписи транзакций пользователями.
💥 Причина: уязвимость/компрометация версии браузерного расширения v2.68, которая, судя по всему, позволяла злоумышленникам получить доступ к seed-фразам и приватным ключам, как только пользователь импортировал кошелёк в эту версию.
📌 Важная деталь:
- Инцидент затронул только браузерное расширение — не мобильное приложение и не все версии.
- Компания выпустила исправленную версию 2.69 и рекомендовала срочно обновиться или удалить расширение.
- Binance/Trust Wallet официально заявили, что покроют потери пострадавших через фонд SAFU (~$7m).
---
🧨 Почему это произошло
📍 1) Компрометация браузерного расширения
Расследования на уровне исследователей кода предположили, что в обновлённую версию расширения был внедрён недокументированный код (файл
4482.js
), который мог отправлять чувствительную информацию на сторонний домен.
📍 2) Пользователи импортировали seed-фразы
Средства чаще всего были потеряны у тех, кто импортировал свои seed-фразы в браузерное расширение — то есть, ключи были раскрыты в среде, которая оказалась скомпрометирована.
📍 3) Возможный supply-chain / инсайдерский вектор
Часть экспертов связывает случившееся не с прямым взломом криптографии, а с компрометацией обновления расширения или утечкой доступа в процессе разработки или публикации обновления — это называется supply-chain attack.
📍 4) Проблема не в сети или протоколе
Взлом не использовал уязвимости в протоколе блокчейна — средства просто пересылались обычными транзакциями с приватных ключей, которые стали известны злоумышленникам.
🧠 Что это значит по сути
🔹 Это не взлом блокчейна, а взлом среды хранения/доступа — то есть доступ к ключам.
🔹 Self-custody (самостоятельное хранение) — мощный инструмент, но рискует техническим окружением, а не криптографией.
🔹 Даже известный кошелёк с миллионами пользователей — если есть эксплойт в его коде или обновлении — может «сливать» ключи напрямую.
---
❗️Ключевые уроки и выводы
🔐 1) Никогда не импортируй seed-фразу в браузерное расширение
Расширения — это относительно уязвимая среда:
- имеют доступ к вашему браузеру,
- могут быть скомпрометированы через обновления или сторонние библиотеки.
Лучше использовать только проверенные устройства/хранилища.
📱 2) Предпочитай мобильные/аппаратные кошельки
Trust Wallet мобильный НЕ затронут этим инцидентом — пользуйтесь им или аппаратными устройствами (Ledger, Trezor и др.) для хранения крупной суммы.
📊 3) Проверяй релизы и источники ПО
Всегда ставь расширения только через официальные источники (Chrome Store, GitHub) и проверяй цифровые подписи/отзывы при обновлениях.
🛑 4) Регулярно отзывай правa/разрешения
В браузере/дApps регулярно проверяй, какие сайты/разрешения активны, и отзывай всё, чем давно не пользуешься.
💡 5) Будь осторожен при переносе средств
Если импортируешь seed-фразу где-либо — это всегда риск. Создавай отдельные кошельки для каждой задачи, а не используйте один seed для всего.
---
💬 Почему это критично для отрасли
👉 Этот инцидент напоминает главное правило крипты:
🔑 ключи = контроль над средствами.
Если приватный ключ доступен где-то в среде, которую могут прочитать/компрометировать — без крипто-атаки он всё равно украден. Это не баг блокчейна — это баг доверия к инструменту доступа.
---
🧾 Выводы
1. Проблема была в браузерном расширении Trust Wallet v2.68 — оно было скомпрометировано, что привело к утечке seed-фраз/ключей.
2. Потери оцениваются в ~$6–7M, затронуты сотни пользователей.
3. Trust Wallet выпустил обновление, рекомендует отключить старое расширение и обещает компенсации через SAFU.
---
📌 Рекомендации
✔️ Если у тебя было расширение Trust Wallet — удали его и не вводи seed-фразу туда.
✔️ Проверь на анонимных трекерах переводов, не было ли несанкционированных списаний.
✔️ Если импортировал seed куда-то ещё — создай новый кошелёк и переведи туда средства с новым seed/changing address.
✔️ Никому не отправляй seed и не вводи его туда, где ты не уверен на 100%.