Ну вот и дождались. Trust Wallet, один из самых раскрученных некастодиальных кошельков, который все нахваливают за простоту и надёжность, дал трещину. И не просто трещину, а полноценный слив данных. Если ты пользуешься им — не паникуй, но сядь поудобнее.
Сейчас мы разберём, что там произошло, кто виноват (спойлер: не ты) и что делать дальше. Потому что, по чесноку, после таких историй доверие качается, как курс мемкоина на слухах.
Суть в двух словах: взломали не блокчейн и не твой конкретный некастодиальный кошелек. Взломали само обновление браузерного расширения. Да-да, ту самую апдейт-кнопку, которую мы все нажимаем, не глядя. Вот это и было главной ловушкой.
Команда, конечно, отреагировала быстро, CZ пообещал возместить убытки из фонда SAFU — но осадочек, как говорится, остался. И теперь мы все дружно думаем, какого чёрта вообще произошло.
Не знаешь, какую биржу выбрать? Я торгую на Bybit
Что случилось на самом деле? Подробности взлома Trust Wallet
Давай без паники, только факты. В конце декабря в сети начали появляться первые крики — мол, с кошельков утекают средства. Сначала все грешили на фишинг, как обычно. Но паттерн был странным: страдали только пользователи браузерного расширения Trust Wallet для Chrome.
Оказалось, всё просто и гениально со стороны атакующих. В обновление расширения (версия 2.68) засунули вредоносный код. Этот код маскировался под безобидный аналитический скрипт, а на деле воровал seed-фразы в момент их ввода. Твои самые главные слова, которые ты учил хранить подальше от интернета, тихо улетали на левый домен. И всё. Ключи от твоего сейфа у злоумышленников.
Сразу уточню — мобильное приложение не тронули. Атака была точечной, на конкретный канал. Но это, по-моему, не сильно утешает. Потому что проблема не в том, куда ты заходил, а в том, КАК обновляешь софт. Слепо веря, что всё проверили за тебя.
Хронология: как развивалась атака на Trust Wallet
Всё началось с тихого слива средств. Пользователи просыпались и видели нули. Первым забил тревогу ончейн-детектив ZachXBT — парень реально делает работу за многих. Он отследил транзакции и заявил об ущербе в $6+ миллионов. Тут уже понеслось.
Команда Trust Wallet признала проблему только на следующий день. Их версия была такой:
«Да, есть инцидент с расширением. Отключайте версию 2.68, обновляйтесь до 2.69».
Сухо, по-деловому. Но за их спиной уже выступил сам CZ (Чанпэн Чжао) и пообещал покрыть все убытки из фонда SAFU. Это сильный ход, без сарказма. Потому что иначе гнев комьюнити был бы оглушительным. Ущерб в итоге оценили в районе $7 миллионов. Не самые гигантские потери в истории, но, согласись, для простого апдейта — перебор.
Мнение эксперта, или почему мы все в зоне риска
Я общался с Алексеем Волконским на эту тему. Его вердикт был жёстким:
«Это классическая supply-chain атака, парни. Та самая, против которой нет волшебной таблетки».
Вредоносный код (файл 4482.js) вшили прямо в легальное обновление, которое разошлось через официальный Chrome Web Store. И это главный рэд флаг для всей индустрии.
Поясню на пальцах. Раньше тебя могли обмануть фишинговой ссылкой или левым файлом. Теперь хакеры научились атаковать сами источники — официальные магазины приложений и процессы обновления.
Ты думаешь, что качаешь проверенный софт, а по факту получаешь троян. И браузерные расширения здесь — идеальная мишень. Они имеют огромные права, работают в твоём браузере и, по сути, видят всё, что ты делаешь.
Меня лично бесит именно эта наглая изощрённость. Это уже не развод лохов на «скинь приватный ключ для проверки». Это высокоуровневая атака, которая бьёт по тем, кто вроде бы всё делает правильно: обновляется через официальные каналы. После такого хочется выключить компьютер и положить деньги под матрац. Но мы же не сдаёмся так просто.
Более 60% клиентов одной из крупнейших в мире бирж Bybit – из СНГ, поэтому вероятность ухода биржи с российского рынка стремится к нулю.
Инструкция к применению. Что делать прямо сейчас тем, кто хранит крипту в Trust Wallet
Ладно, хватит нытья. Переходим к самому важному — что делать тебе. Вот мой чек-лист, выстраданный на подобных историях.
- Первое. Не суетись. Если ты юзаешь только мобильное приложение Trust Wallet, твои средства вне зоны удара. Расслабься (но не до конца).
- Второе. Если у тебя стоит браузерное расширение — открой настройки Chrome и посмотри версию. Видишь 2.68? Выключай эту штуку немедленно. Не открывай её.
- Третье. Иди в Chrome Web Store и качай актуальное обновление (2.69 или выше). Только после этого включай расширение снова.
- Четвёртое. Это критично. Если ты вводил seed-фразу в ту самой скомпрометированной версии 2.68 — считай, что ключи от твоего кошелька уже на руках у нехороших ребят. Самый разумный шаг — создать новый кошелёк с НОВОЙ seed-фразой и перевести на него все активы. Старую фразу выбрасывай в помойку. Не жалей.
- Пятое. Запомни это правило навсегда: одна seed-фраза — один кошелёк. Если она где-то светилась, даже потенциально, кошелёк больше не безопасен. Точка.
Для наглядности сведём всё в таблицу. Люблю, когда всё ясно.
Твоя ситуация Мой совет Пользуюсь только мобильным приложением Делать ничего не надо. Спи спокойно. Есть расширение, версия 2.69+ Повезло. Работай дальше, но будь настороже. Есть расширение, версия 2.68 Выключи, обнови до 2.69 через магазин Chrome. Вводил сид-фразу в версии 2.68 Кошелёк убит. Создавай новый с нуля и переводи средства на него.
История от первого лица. Как это выглядело в реальности
Одна знакомая (назовём её Катей) описала мне свой день. Открыла кошелёк, а там счётчик обнулился. $30 000 испарились за четыре минуты, без единого уведомления. Она не кликала на ссылки, не вводила пароли на левых сайтах. Просто обновила расширение, как все мы это делаем раз в месяц или реже. Всё.
Именно такие истории и пугают больше всего. Когда ты вроде всё делаешь правильно, а результат — ноль на балансе. Это не ошибка пользователя. Это провал в безопасности на стороне разработчика. И это надо признавать.
Такое может случиться с любым человеком и приложением. Надо принять как факт: 100% защиты не бывает.
Что этот взлом Trust Wallet значит для всех нас
Это не первый и не последний случай. За этот год хакеры вывели из разных проектов больше $3 млрд. Цифра астрономическая. И атаки становятся не массовыми, а точечными и умными. Бьют не по слабому, а по сильному — по репутации и доверию.
Trust Wallet был для многих входным билетом в DeFi и NFT. Простой, удобный, с хорошей репутацией от Binance. А теперь что? Теперь каждый раз при обновлении будешь дёргаться. Это, кстати, здоровый цинизм, который нам всем необходим.
Мой главный вывод после этой истории простой. Если ты держишь в кошельке сумму, потерю которой переживёшь тяжело — купи аппаратный кошелёк. OneKey, Ledger или Trezor – что угодно. Это единственный по-настоящему безопасный способ хранить ключи оффлайн.
Все эти расширения и горячие кошельки — для оперативных, рабочих сумм. Не строй на них всю свою крипто-жизнь. Делить активы по рискам — это и есть взрослая дисциплина. А без неё мы все просто играем в русскую рулетку с обновлениями.
Вот и весь разговор. Trust Wallet взломали, деньги вернут, но иллюзий о 100% безопасности больше нет. И это, как ни странно, хорошо. Заставляет думать головой, а не полагаться на чужой авторитет.
Я считаю, что такие инциденты — наше общее обряд посвящения. Через это проходят все. Главное — сделать правильные выводы и не наступать на те же грабли.
А ты как думаешь? Стоит ли после такого вообще пользоваться браузерными расширениями для крипты, или это путь в никуда? Останется ли Trust Wallet твоим основным некастодиальным кошельком или знаешь решение безопаснее? Жду твоё мнение в комментах!
Хочешь знать больше остальных?
Подписка на Криптовалюта.ру — твое преимущество.
Лайк — если было полезно.
Торгую криптовалютой тут: ➡️ Bybit
Все сделки и сервисы в Telegram
Мемы и движ: ВК-группа