На блокчейне детектив ZachXBT поднял тревогу: Trust Wallet подтвердил уязвимость расширения, из-за которой было украдено миллионы долларов

Всего за несколько часов сотни кошельков были необычно переведены через уязвимость расширения Trust Wallet Chrome, что привело к потерям не менее 6 миллионов долларов. Злоумышленник внедрил скрипт PostHog JS для сбора информации пользовательского кошелька, и исправление пока не полностью устранило этот риск.

Потери безопасности Web3 в 2025 году достигнут примерно $3,35 миллиарда, при этом количество инцидентов уменьшатся и увеличиваются масштабы отдельных потерь.

01 Произошёл инцидент

Trust Wallet, как массовый криптокошелек без кастодиального использования с примерно 17 миллионами активных пользователей в месяц и долей рынка около 35%, имеет широкий спектр последствий для этого инцидента с безопасностью.

После атаки он-чейн-детектив ZachXBT отслеживал и раскрыл инцидент. Сотни пользователей Trust Wallet сообщили, что их адреса были переведены из кошельков за последние несколько часов.

Ещё более тревожно, что эксперты по безопасности отмечают, что даже при обновлении до фиксированной версии риск не полностью устранён, так как проблемный PostHog JS не был удалён из исправленной версии.

02 Природа уязвимости

Типичный пример атаки на цепочку поставок. Согласно анализу экспертов по безопасности Slow Mist, суть этой уязвимости заключается в том, что злоумышленник внедряет вредоносный код в расширение техническими способами. Злоумышленник должен хорошо знать исходный код расширения кошелька для проведения такой атаки.

Долгосрочные риски безопасности плагин-кошельков. Это не первый случай, когда Trust Wallet сталкивается с инцидентом с безопасностью. В ноябре 2022 года был обнаружен браузерный плагин с уязвимостью WebAssembly, что привело к краже примерно $170,000 средств.

Ограничения официального патча. Хотя Trust Wallet выпустил исправленную версию, эксперты по безопасности отмечают, что исправленная версия всё ещё рискованна. Это подчёркивает сложность и проблемы с задержками в процессе ремонта кошелька плагинов.

03 Состояние безопасности отрасли

В этом году ландшафт безопасности Web3 остаётся мрачным. Согласно отчету, опубликованному CertiK, убытки от взломов, мошенничества и утечок в 2025 году составят примерно 3,35 миллиарда долларов, что больше по сравнению с 2024 годом (примерно 2,446 миллиарда долларов).

Атаки показывают тенденцию «меньше, но тяжелее». В отчёте CertiK отмечается, что если исключить один крупномасштабный инцидент с Bybit (примерно 1,447 миллиарда долларов США), общий масштаб украденных средств ниже, чем в предыдущем году, что демонстрирует характеристики «уменьшения числа инцидентов и увеличения масштаба отдельных потерь».

Атаки на цепочку поставок становятся массовым явлением. Отчёт за 2025 год показывает наибольший ущерб, нанесённый атаками на цепочку поставок, тогда как фишинговые атаки — наибольшее число.

04 Исторические уязвимости основных кошельков

Плагин-кошельки всегда были слабым звеном в криптоэкосистеме, и многие крупные кошельки сталкивались с инцидентами безопасности. Вот несколько типичных случаев последних лет:

«Демонический» уязвимость MetaMask: В 2022 году у MetaMask была уязвимость под названием «Демонический», затрагивавшая старые версии до 10.11.3, когда приватные ключи могли быть открыты в памяти браузера. Но, к счастью, известных крупных потерь средств не было.

Скандал с безопасностью Phantom: В начале 2025 года плагин кошелька Phantom оказался втянутым в спор по вопросам безопасности. Один пользователь потерял 500 000 долларов из-за того, что приватный ключ хранился в памяти без шифра. Этот инцидент привёл к коллективному иску, поданному пользователями в Южном округе Нью-Йорка.

Уязвимость Rabby Wallet Swap: уязвимость функции Swap в Rabby Wallet в 2022 году привела к тому, что хакеры украли примерно $200,000 криптоактивов. Важно отметить, что эта уязвимость связана не с самим плагином, а в его встроенной функции Swap.

05 Рекомендации по преследованию и экстренные меры

В условиях всё более сложных криптографических угроз пользователям необходимо принять ряд мер для защиты своих активов.

Основные меры предосторожности: Во-первых, немедленно отключить сеть и передать активы. Пользователям, использующим кошельки с уязвимостями, обязательно отключитесь от сети перед тем, как экспортировать seed-фразу для передачи активов.

Во-вторых, строго проверьте источник расширения. Скачивайте расширения кошелька только из официального Chrome Web Store и избегайте плагинов от сторонних источников.

Регулярные обновления и безопасные резервные копии. Держите все программы, связанные с шифрованием, в актуальном состоянии, и храните свою seed-фразу офлайн в безопасном месте.

Выбор безопасности платформы: Для тех, кто ищет повышенную безопасность, разумный выбор авторитетной централизованной биржи для хранения и торговли активами. Платформы вроде Gate, использующие множество механизмов безопасности и разделение горячих и холодных кошельков, обеспечивают дополнительный уровень защиты для пользователей.

Основные биржи, такие как Gate, часто имеют фонды безопасности и внедряют строгие системы мониторинга фондов, которые сыграли значительную роль в защите пользовательских активов.

06 Реакция рынка и роль платформы Gate

Настроение на рынке сместилось в сторону осторожности. Под влиянием инцидентов с безопасностью и годовой ликвидности настроения на крипторынке сместились в сторону осторожности. Согласно данным, индекс страха и жадности криптовалют сегодня составляет 20, и рынок находится в состоянии «крайнего страха».

Основные результаты рынка криптовалют

Обратите внимание, что цены в реальном времени на платформе Gate могут различаться, пожалуйста, обратитесь к официальным данным Gate для получения подробностей:

• Биткоин (BTC): Примерно $88,853.76, рост на 1,44% за 24 часа
• Ethereum (ETH): Примерно $2,969.15, рост на 1,02% за 24 часа
• Солана (SOL): Примерно $122.81, рост на 0.33% за 24 часа
• Ripple (XRP): Примерно $1.86, снижение на 0.24% за 24 часа
• Dogecoin (ДОЖ): Примерно $0.1255, снижение на 2.29% за 24 часа

Особенно важно отметить, что инцидент с безопасностью Trust Wallet подчёркивает важность проведения транзакций на платформах, таких как Gate, с строгими мерами безопасности.

Отрасль развивается в более зрелом направлении. Отчет по безопасности за 2025 год показывает, что сектор DeFi демонстрирует признаки зрелости в плане безопасности, несмотря на рост объёма убытков.

Это показывает, что вся криптоэкосистема становится всё более устойчивой и надёжной по мере улучшения мер безопасности и повышения осведомлённости пользователей.

Будущее

На крипторынке рыночная капитализация мем-коина WhiteWhale достигла нового исторического максимума в цепочке Solana — рост на 33,82% за 24 часа и рыночная капитализация свыше $18 миллионов. Эти предположения резко контрастируют с тяжёлой ситуацией с безопасностью.

В связи с уязвимостью Trust Wallet всё больше пользователей обращаются к массовым платформам, ценящим безопасность. Как подчеркивают эксперты по безопасности SlowMist, пользователям необходимо отключиться от сети перед передачей активов, что отражает высокий уровень ответственности за управление личными активами.