Rozszerzenie Trust Wallet o wartości 7 mln USD: wszystko, co musisz wiedzieć

Zaufaj Portfel Zatwierdzony że złośliwa aktualizacja oficjalnego rozszerzenia przeglądarki Chrome doprowadziła do kradzieży około 7 milionów dolarów środków użytkowników. Wyciek dotyczył tylko jednej wersji rozszerzenia, 2.68, i polegał na kradzieży fraz początkowych portfela za pomocą osadzonego złośliwego kodu. Według raportów, użytkownicy urządzeń mobilnych i innych wersji przeglądarek nie ucierpieli.

Co się stało w wyniku ataku na rozszerzenie Trust Wallet?

Incydent rozpoczął się 24 grudnia 2025 roku, kiedy Trust Wallet wydał wersję 2.68.0 swojego rozszerzenia do Chrome. Początkowo użytkownicy zgłaszali rozproszone straty. Portfele były opróżniane wkrótce po uzyskaniu do nich dostępu lub zaimportowaniu ich za pośrednictwem rozszerzenia. To, co wyglądało na odosobnione przypadki, szybko wskazywało na szerszy problem.

W Boże Narodzenie badacz on-chain ZachXBT wydane Publiczne ostrzeżenie, podczas gdy skradzione środki wciąż były przesyłane w łańcuchu. Powiązał drenaż portfela bezpośrednio z aktualizacją v2.68. Jego analiza pomogła ustalić, że nie był to błąd użytkownika ani próba phishingu, a zainfekowane rozszerzenie przeglądarki.

Do 26 grudnia Trust Wallet potwierdził naruszenie. Firma oświadczyła, że ​​problem dotyczył tylko wersji 2.68 i wezwała użytkowników do natychmiastowej aktualizacji do wersji 2.69. Według informacji w Chrome Web Store, rozszerzenie do Chrome ma około miliona użytkowników.

Trust Wallet potwierdził później, że skradziono aktywa cyfrowe o wartości około 7 milionów dolarów z wielu blockchainów.

Których użytkowników to dotyczyło?

Narażeni na ryzyko są tylko użytkownicy, którzy zainstalowali lub zalogowali się do rozszerzenia Trust Wallet dla przeglądarki Chrome w wersji 2.68 przed godziną 11:00 UTC 26 grudnia.

Według Trust Wallet i badaczy ds. bezpieczeństwa:

• Użytkownicy aplikacji mobilnej nie zostali dotknięci
• Inne wersje rozszerzeń przeglądarki nie zostały dotknięte
• Portfele dostępne za pośrednictwem wersji 2.68 mogą być całkowicie zagrożone

W wielu przypadkach portfele były opróżniane w ciągu kilku minut od odblokowania rozszerzenia lub zaimportowania frazy początkowej. Dotyczyło to setek portfeli, w tym adresów Bitcoin, Ethereum i Solana.

Dyrektor generalny Trust Wallet, Eowyn Chen, potwierdził, że użytkownicy, którzy zalogowali się w okresie objętym kwarantanną, powinni założyć, że ich portfele zostały ujawnione i utworzyć nowe.

Jak działał złośliwy kod?

Według firmy zajmującej się bezpieczeństwem blockchain Powolna MgłaAtak nie został spowodowany przez złośliwą bibliotekę innej firmy. Przeciwnie, atakujący bezpośrednio zmodyfikował kod rozszerzenia Trust Wallet. Złośliwa logika była osadzona w komponencie analitycznym rozszerzenia.

Odkryj obiecujące projekty...

Obiecujące projekty...

(Reklama)

Artykuł ciąg dalszy...

Oto jak to działało:

• Kod przeszedł przez wszystkie portfele zapisane w rozszerzeniu
• Wywołało to żądanie frazy mnemonicznej dla każdego portfela
• Po odblokowaniu portfela przez użytkowników zaszyfrowana fraza początkowa została odszyfrowana
• Odszyfrowany mnemonik został wysłany na serwer kontrolowany przez atakującego

Dane zostały wykradzione do domeny api.metrics-trustwallet[.]com. Domena została zarejestrowana 8 grudnia 2025 roku. Żądania do serwera rozpoczęły się 21 grudnia, kilka dni przed opublikowaniem złośliwej aktualizacji.

Atakujący wykorzystał legalną bibliotekę analityczną typu open source o nazwie posthog-js jako przykrywkę. Zamiast wysyłać dane do właściwego punktu końcowego analizy, ruch był przekierowywany na serwer atakującego.

SlowMist oświadczył, że było to wewnętrzne naruszenie bazy kodu, a nie zatruta zależność.

W jaki sposób opublikowano zagrożone rozszerzenie?

Wewnętrzne dochodzenie Trust Wallet ujawniło krytyczną usterkę w procesie publikacji. Według prezesa Eowyn Chen, wyciekły klucz API Chrome Web Store został wykorzystany do opublikowania złośliwej wersji.

Zainfekowane rozszerzenie zostało przesłane 24 grudnia o godzinie 12:32 UTC. Ominęło to standardowe wewnętrzne kontrole Trust Wallet.

Pokazuje to, że atakujący nie wykorzystywał bezpośrednio użytkowników. Zamiast tego wykorzystał infrastrukturę dystrybucyjną. Tego typu ataki na łańcuchy dostaw są trudniejsze do wykrycia, ponieważ oprogramowanie wydaje się oficjalne i zaufane.

Ile skradziono i gdzie trafiły pieniądze?

Trust Wallet i niezależni badacze szacują łączną kwotę strat na około 7 milionów dolarów.

Podział znanych skradzionych aktywów obejmuje:

• Około 3 milionów dolarów Bitcoin
• Ponad 3 miliony dolarów Ethereum
• Mniejsze ilości w Solana i inne aktywa

Zgodnie z Tarcza Pecka i ZachXBT, skradzione środki zostały szybko wyprane.

Do najważniejszych ruchów zalicza się:

• Około 3.3 miliona dolarów wysłano do ChangeNOW
• Około 340 000 dolarów wysłano do FixedFloat
• Około 447 000 dolarów wysłano do KuCoin

Ponad 4 miliony dolarów przeszło przez scentralizowane giełdy. Według ostatniej aktualizacji, około 2.8 miliona dolarów pozostało w portfelach kontrolowanych przez atakującego.

Ten schemat powtarza się w innych przypadkach naruszenia bezpieczeństwa portfeli, w których atakujący wykorzystują usługi natychmiastowej wymiany danych i mosty, aby ograniczyć możliwość śledzenia.

Plan reakcji i wynagrodzeń Trust Wallet

Trust Wallet wprowadził szybką poprawkę. Wersja 2.69 została wydana 25 grudnia, aby usunąć złośliwy kod. Użytkownikom zalecono natychmiastowe wyłączenie wersji 2.68.

Firma uruchomiła również formalny program wynagrodzeń.

Dotknięci użytkownicy mogą zgłaszać roszczenia za pośrednictwem oficjalny formularz wsparcia na stronie internetowej Trust WalletProces wymaga:

• Adres e-mail
• Kraj zamieszkania
• Zagrożone adresy portfeli
• Atakujący otrzymuje adresy
• Istotne skróty transakcji

Trust Wallet oświadczył, że każde roszczenie będzie weryfikowane indywidualnie.

„Pracujemy całą dobę, aby dopracować szczegóły procesu odszkodowawczego, a każdy przypadek wymaga starannej weryfikacji, aby zapewnić dokładność i bezpieczeństwo” – poinformowała firma.

Changpeng Zhao, współzałożyciel i były dyrektor generalny Binance, która w 2018 r. przejęła Trust Wallet, potwierdził, że straty zostaną pokryte.

Dlaczego to włamanie jest ważne dla bezpieczeństwa portfela

Ten incydent uwypukla powtarzające się ryzyko w kryptowalutach. Nawet portfele bez depozytu są zależne od kanałów dystrybucji oprogramowania. Gdy te kanały zawiodą, użytkownicy mogą stracić wszystko.

Atak na Trust Wallet wpisuje się w szerszy schemat obserwowany w branży. Na początku tego roku Coinbase ujawnił, że zwróci ponad 400 milionów dolarów po odrębnym naruszeniu powiązanym z przekupionym personelem wsparcia w Indiach.

Różne metody ataku, ten sam wynik. Założenia dotyczące zaufania łamią się na krawędziach.

Dla użytkowników oznacza to wzmocnienie podstawowych zasad bezpieczeństwa:

• Traktuj rozszerzenia przeglądarki jako oprogramowanie wysokiego ryzyka
• Natychmiast aktualizuj po wydaniu poprawek
• Przenieś środki, jeśli portfel może zostać naruszony
• Nigdy nie używaj ponownie odsłoniętych fraz źródłowych

Dla dostawców portfeli lekcja dotyczy bezpieczeństwa wydań. Klucze API, procesy kompilacji i dane uwierzytelniające do sklepów są obecnie głównymi celami ataków.

Podsumowanie

Atak na rozszerzenie Trust Wallet o wartości 7 milionów dolarów był wynikiem naruszenia łańcucha dostaw, a nie błędu użytkownika. Złośliwy kod osadzony w wersji 2.68 rozszerzenia Chrome zbierał frazy typu seed i opróżniał portfele w wielu blockchainach. 

Rust Wallet zareagował, usuwając wadliwą wersję, publikując poprawkę i zobowiązując się do pełnego zwrotu kosztów. Incydent ten podkreśla, jak istotne w kryptowalutach pozostają rozszerzenia przeglądarek i dlaczego zarówno użytkownicy, jak i deweloperzy muszą traktować bezpieczeństwo dystrybucji równie poważnie, jak zarządzanie kluczami prywatnymi.

Zasoby

1. Zaufaj portfelowi X:Ogłoszenie z 26 grudnia

2. Post Slowmist na temat X:Raport o potencjalnym ataku na Trust Wallet

3. Post PeckShield na temat X:O exploicie Trust Wallet