Trust Wallet подтверждает уязвимость расширения браузера: более $6 миллионов украдено на Рождество

Trust Wallet официально признал наличие уязвимости в безопасности в версии 2.68 своего расширения для Chrome, что привело к несанкционированным выводам на сумму более $6 миллиона долларов от пострадавших пользователей в рождественский день.

Компания подчеркнула, что затронута была только эта конкретная версия расширения, мобильное приложение и другие релизы расширений оставались безопасными.

(Источники: X)

Детали инцидента и немедленные меры реагирования

Уязвимость впервые обнаружил исследователь блокчейна ZachXBT 25 декабря, который сообщил о быстром выводе средств с аккаунтов нескольких пользователей Trust Wallet вскоре после недавнего обновления расширения.

Trust Wallet быстро подтвердил проблему в социальных сетях, призвав пользователей немедленно отключить версию 2.68 и обновиться до последней версии (версии 2.69).

Команда заявила, что ведется активное расследование, и обещала предоставлять дальнейшие обновления по мере появления новых деталей. Точная техническая причина пока не раскрыта.

Анализ ZachXBT показал, что злоумышленники использовали уязвимость для получения прямого доступа к кошелькам и выполнения несанкционированных переводов. Более $4 миллиона украденных средств, по сообщениям, было переведено на централизованные биржи, возможно, через флеш-займы для сокрытия следов.

Пострадали сотни пользователей, что делает этот случай одним из крупнейших взломов расширений за последнее время.

Руководство для пользователей и рекомендации по безопасности

Trust Wallet опубликовал четкие инструкции по безопасности:

• Немедленно отключить и удалить версию 2.68 расширения для браузера.
• Обновиться до исправленной версии для продолжения использования.
• Рассмотреть возможность переноса активов в мобильное приложение, которое предлагает биометрическую аутентификацию и осталось неуязвимым.
• Внимательно следить за активностью кошелька и проверять любые подозрительные транзакции.

Компания подчеркнула, что мобильное приложение остается безопасным и рекомендовало его как предпочтительную платформу в будущем.

Общий контекст и исторические прецеденты

Этот инцидент напоминает о предыдущей уязвимости Trust Wallet в ноябре 2022 года, связанной с кодом WebAssembly, которая привела к потерям примерно в $170,000. Тогда компания полностью возместила пострадавшим пользователям убытки.

Текущий взлом значительно масштабнее, что вызывает вопросы о возможных компенсациях. По состоянию на 26 декабря 2025 года Trust Wallet не объявлял о планах возмещения, хотя общественность настаивает на ясности.

Инцидент подчеркивает постоянные риски, связанные с кошельками на базе браузера, особенно уязвимости, возникающие при обновлениях. Он также демонстрирует сложность современных злоумышленников, нацеленных на популярные инструменты самохранения.

Последствия для индустрии

Этот взлом служит ярким напоминанием о важности своевременных обновлений, диверсификации активов по платформам и внимательного мониторинга транзакций.

По мере роста популярности безхранительных кошельков такие инциденты, скорее всего, усилят контроль за практиками безопасности в секторе — что может ускорить требования к улучшению аудита, протоколам обновлений и обучению пользователей.

Trust Wallet продолжает расследование и обещает прозрачность по мере развития ситуации. Пользователям рекомендуется оставаться бдительными и следить за официальными каналами для получения последних рекомендаций.