Trust Wallet зазнала різдвяну крадіжку: хакери використали вразливість розширення для викрадення понад 600 мільйонів доларів

一次看似常規的 Chrome розширення оновлення стала початком великої крадіжки криптоактивів. 24 грудня Trust Wallet надіслав оновлення розширення для Chrome Web Store, версія 2.68.

25 грудня, у день Різдва, перші жертви прокинулися і виявили, що їхні кошти були без дозволу переведені. Детектив блокчейну ZachXBT швидко втрутився в розслідування і на Telegram-групі надіслав термінове попередження.

З поглибленням розслідування, з’явилася повна картина події: постраждали лише користувачі з версією 2.68 браузерного розширення, мобільні та інші версії залишилися неушкодженими.

01 Огляд події: різдвяна безпека та реакція кількох сторін

25 грудня 2025 року, у день, який мав бути наповнений радістю, став кошмаром для сотень користувачів Trust Wallet. Детектив ZachXBT повідомив, що сотні користувачів платформи зазнали крадіжки коштів, загальна сума збитків склала щонайменше 600 мільйонів доларів.

Trust Wallet — криптогаманець, що належить Binance, з мільйонами користувачів. Як провідний некастодіальний гаманець, він підтримує Ethereum, Binance Smart Chain та інші популярні блокчейни і тісно інтегрований з багатьма DeFi платформами.

Після інциденту офіційний сайт Trust Wallet опублікував попередження про безпеку, підтвердивши наявність вразливості у браузерному розширенні 2.68 і терміново випустив версію 2.69 з виправленнями.

Засновник Binance CZ також відреагував у соцмережах, заявивши, що через цю уразливість загальні збитки склали близько 700 мільйонів доларів, і платформа повністю компенсує постраждалим користувачам, кошти — “SAFU” (фонд безпеки активів).

02 Таймлайн атаки: ретельно спланована різдвяна крадіжка

Хронологія цієї безпекової події показує, що атака була ретельно спланована. 24 грудня, у переддень Різдва, Trust Wallet надіслав оновлення розширення до Chrome Web Store, і більшість користувачів автоматично або вручну оновили його під час святкової атмосфери.

Лише кілька годин потому, 25 грудня вранці, за східним часом США, перші жертви почали помічати незвичайні перекази коштів. ZachXBT, отримавши кілька повідомлень, у обід за місцевим часом зробив публічне попередження у Telegram.

Переведення коштів триває понад 30 годин, з моменту першого повідомлення — досить довгий період. Під час крадіжки активів офіційний акаунт Trust Wallet продовжував публікувати привітання з святами та маркетингові повідомлення, що викликало обурення спільноти.

Лише 26 грудня, через понад 30 годин після початку, представники Trust Wallet офіційно попередили про вразливість у браузерному розширенні. Такий підхід викликав багато критики і посилив занепокоєння користувачів.

03 Технічний аналіз: смертельна уразливість браузерного розширення

Експерти з безпеки зазначають, що ця атака могла бути реалізована двома способами: по-перше, шляхом навмисного вбудовування шкідливого коду під час оновлення; по-друге, випадковим введенням уразливості, яку можна використати.

Високі привілеї розширень Chrome роблять їх ідеальною ціллю для атак. Такі розширення можуть читати і змінювати весь контент веб-сторінок, перехоплювати запити, вставляти будь-який скрипт, навіть отримувати доступ до локального сховища.

CISO SlowFog додатково зазначає, що ця безпекова подія може бути викликана атакою на інструменти розробника або репозиторій коду, і наразі деякі користувачі все ще піддаються крадіжкам. Це підкреслює загрозу ланцюгових атак — атакувальники не обов’язково повинні зламати сам додаток гаманця, достатньо контролювати його залежності на верхніх рівнях.

Дослідження безпеки показують, що браузерні гаманці мають три системні ризики: автоматичне оновлення, яке не дозволяє користувачам перевіряти зміни у коді перед прийняттям; зловживання дозволами, що може дозволити легальним розширенням додавати шкідливий код під час оновлення; уразливості у ланцюгу залежностей, що може вплинути на всі downstream додатки без відома користувачів.

04 Відстеження потоків коштів: шлях відмивання хакерами

За даними PeckShield, у результаті використання вразливості Trust Wallet хакери вже викрали понад 600 мільйонів доларів криптоактивів. Ці кошти швидко автоматично переказувалися до групи гаманців, контрольованих зловмисниками.

Відстеження потоків показує системний процес відмивання:

Детальніше, близько 330 тисяч доларів переказано на ChangeNOW, близько 34 тисяч — на FixedFloat, близько 44.7 тисяч — на KuCoin. Такий швидкий розподіл — характерна ознака уразливості через пошкоджені фронтенд або розширення, що ускладнює відстеження.

Аналіз на блокчейні показує, що новий EVM-гаманець отримав транзакції від кількох сотень мінімуми до 7 ETH, один з адрес зберігає понад 255 ETH, що приблизно дорівнює 75 тисячам доларів.

На мережі Bitcoin один з адрес отримав понад 12 BTC через 66 транзакцій, що становить понад 1 мільйон доларів, інші гаманці отримали разом 1.5 BTC.

05 Вплив на ринок і поведінка токенів

Інцидент з Trust Wallet не лише зачепив безпосередніх постраждалих, а й спричинив коливання на ринку криптовалют. Як нативний токен екосистеми — Trust Wallet (TWT) — він може зазнати цінового тиску.

Засновник компанії SlowFog, Юй Цзянь, додатково зазначив, що зловмисники, ймовірно, добре ознайомлені з кодом Trust Wallet і вставили PostHog JS для збору різної інформації про користувачів. Стурбованість викликає те, що у виправленій версії Trust Wallet цей скрипт залишився.

Історія показує, що подібні інциденти зазвичай призводять до падіння цін відповідних токенів на 10–20% протягом 24 годин, з різким зростанням обсягів торгів і панічними продажами. Це може також спонукати інвесторів перейти до більш безпечних активів, таких як Bitcoin і Ethereum.

Станом на 26 грудня, дані платформи Gate свідчать про обережність на ринку, інвестори значно більше уваги приділяють безпеці гаманців. Хоча CZ пообіцяв повну компенсацію, відновлення довіри ще попереду.

06 Інструкції для користувачів і рекомендації з безпеки

Користувачам Trust Wallet, які могли бути піддані ризику, слід негайно вжити таких заходів:

Перший крок: перевірка і ізоляція. Перевірте транзакції за останні 48 годин, особливо підозрілі перекази токенів, взаємодії з контрактами або підписання дозволів. За підозри — негайно вимкніть розширення Trust Wallet для Chrome у chrome://extensions, видаліть його.

Другий крок: порятунок активів. Використовуйте Revoke.cash або функцію Token Approvals на Etherscan для скасування всіх дозволів DeFi. Створіть новий гаманець, використовуючи нову мнемоніку, не відновлюйте старий. Переведіть залишки на новий гаманець, не використовуючи пристрої, які могли бути під контролем зловмисників.

Третій крок: повідомлення і захист прав. ZachXBT радить постраждалим звертатися до правоохоронних органів і надавати детальні транзакційні записи. Хоча розкриття криптовалютних крадіжок — складна справа, створення офіційної документації важливе для майбутніх колективних позовів або страхових вимог.

Для користувачів, які ще не постраждали, рекомендується: тимчасово припинити використання Chrome-розширення, перейти на мобільний додаток або апаратний гаманець; перевірити і скасувати зайві дозволи DeFi; перед підписанням нових транзакцій або дозволів — почекати ясності ситуації; регулярно робити резервні копії мнемоніки і зберігати їх офлайн; розглянути можливість переказу великих сум на апаратний гаманець.

Офіційна підтримка Trust Wallet вже надала інструкції щодо компенсаційних процедур, постраждалі можуть зареєструвати заявку. ZachXBT зазначив, що якщо буде доведено відповідальність Trust Wallet, платформа може бути зобов’язана компенсувати постраждалих.

Майбутні перспективи

Оскільки понад 400 мільйонів доларів викрадених коштів вже переказано на ChangeNOW, FixedFloat і KuCoin, наслідки цієї різдвяної крадіжки ще довго відчуватимуться у криптосвіті. Дані PeckShield показують, що близько 280 тисяч доларів залишаються на гаманцях зловмисників.

Експерт із безпеки Юй Цзянь, який виявив, що виправлена версія все ще містить підозрілі скрипти, попереджає про постійні ризики. Безпека у цьому цифровому світі — це не разова подія, а марафон без кінця.

Мовчання Trust Wallet і подальші дії стануть орієнтиром для галузі у питаннях управління безпековими кризами. А для кожного власника криптоактивів ця подія — важливе і чітке нагадування: справжня безпека завжди у ваших руках.