Trust Wallet подтверждает взлом цепочки поставок на $8,5 млн, вызванный утечкой ключа API Chrome

Trust Wallet подтверждает взлом цепочки поставок на $8,5 млн, вызванный утечкой API-ключа Chrome

Компания Trust Wallet подтвердила, что вредоносное обновление для браузера, выпущенное в рождественские праздники, стало причиной кражи средств пользователей на сумму около $8,5 млн. Это одна из самых серьезных атак на цепочку поставок кошельков за 2025 год.

В подробном обновлении после инцидента компания сообщила, что злоумышленники воспользовались утечкой API-ключа Google Chrome Web Store, что позволило им загрузить взломанную версию расширения Trust Wallet непосредственно в Chrome Store, не пройдя внутреннюю проверку кода или проверку безопасности.

Loading tweet...

- Посмотреть оригинал сообщения

Что произошло

В период с 24 по 26 декабря пользователи, установившие браузерное расширение Trust Wallet версии 2.68, неосознанно загрузили вредоносное ПО. В первых сообщениях сообщества отмечались подозрительные утечки, которые, как теперь подтверждает Trust Wallet, были связаны с вредоносным кодом, предназначенным для утечки мнемонических начальных фраз.

Вредоносная программа маскировала исходящие данные под обычный аналитический трафик, отправляемый на поддельный домен (metrics-trustwallet.com), контролируемый злоумышленником. Поскольку обновление было доставлено через официальный магазин Chrome Web Store с использованием действительных учетных данных, оно обошло типичные предупреждающие знаки.

В Trust Wallet заявили, что у них есть "высокая степень уверенности" в том, что этот инцидент связан с "Sha1-Hulud", атакой на всю цепочку поставок в ноябре 2025 года, которая раскрыла секреты разработчиков во многих технологических секторах. Компания считает, что в результате этой атаки злоумышленники получили доступ к исходному коду Trust Wallet и специальному ключу API, необходимому для публикации обновлений.

Финансовые последствия и ответные меры

Компания выявила 2 520 пострадавших адресов кошельков, общий ущерб от которых оценивается в 8,5 миллиона долларов.

С тех пор Trust Wallet:

• Отозвал скомпрометированные учетные данные и откатился на безопасную версию (v2.69).
• Взял на себя обязательство добровольно возместить убытки всем жертвам, имеющим на это право, что является необычно сильной реакцией для сектора криптокошельков.
• Внедрен новый процесс проверки, чтобы отсеять тысячи ложных заявлений.

Пользователей, установивших версию 2.68, призывают считать, что их кошельки скомпрометированы, немедленно перевести средства и восстановить начальные фразы на безопасном устройстве.

Почему это важно

Этот инцидент подчеркивает критический общеотраслевой риск: даже если код приложения безопасен, контроль над ключами распределения может стать единой точкой отказа.

В отличие от традиционных эксплойтов для смарт-контрактов, эта атака

• Не требовала уязвимости блокчейна.
• Нацелена непосредственно на конечных пользователей через доверенную инфраструктуру (официальные магазины приложений).
• Была приурочена к праздничному периоду, когда мониторинг обычно ослаблен.

Эксперты по безопасности отмечают, что изощренность атаки свидетельствует о наличии высокоорганизованного субъекта угрозы, что вызывает более серьезные опасения относительно кошельков на основе расширений и управления ключами выпуска в отрасли.

Keep More On Every Order: 0% Maker, 0.02% Taker

Sign Up Now

Что следует предпринять пользователям

• Убедитесь, что версия вашего расширения 2.69 или выше.
• Если была установлена версия 2.68, считайте, что кошелек взломан.
• Немедленно переведите средства на новый сгенерированный кошелек.
• Отправьте претензию через официальные каналы поддержки Trust Wallet, если вы пострадали.