Рутинне оновлення розширення Chrome перетворилося на початок масштабного викрадення криптоактивів. 24 грудня Trust Wallet випустив оновлення для свого розширення Chrome, версії 2.68, через магазин Chrome Web Store.
25 грудня, у день Різдва, перші постраждалі виявили, що їхні кошти з гаманця були виведені без дозволу. Блокчейн-дослідник ZachXBT оперативно розпочав розслідування та надіслав термінове попередження в групах Telegram.
У ході розслідування з’ясувалося: постраждали лише користувачі браузерного розширення версії 2.68; мобільна та інші версії залишилися безпечними.
01 Огляд інциденту: Різдвяний прорив безпеки та реакція спільноти
25 грудня 2025 року — день, що мав би бути святковим, — став кошмаром для сотень користувачів Trust Wallet. Ончейн-дослідник ZachXBT підняв тривогу, повідомивши, що сотні користувачів втратили кошти з платформи Trust Wallet, а сума збитків вже сягнула щонайменше $6 млн.
Trust Wallet — криптогаманець, що належить Binance, заявляє про десятки мільйонів користувачів. Це провідний некостодіальний гаманець, який підтримує основні блокчейни, такі як Ethereum і Binance Smart Chain, та інтегрується з численними DeFi-платформами.
Після інциденту Trust Wallet офіційно випустив попередження про безпеку, підтвердивши наявність уразливості в браузерному розширенні версії 2.68 та терміново випустивши виправлену версію 2.69.
Засновник Binance CZ також відреагував у соціальних мережах, заявивши, що загальні збитки від уразливості становлять близько $7 млн, і пообіцяв повністю компенсувати постраждалим користувачам, запевнивши, що кошти "SAFU" ("Secure Asset Fund for Users" — Фонд захисту активів користувачів).
02 Хронологія атаки: ретельно сплановане різдвяне пограбування
Хронологія цього прориву демонструє ретельну підготовку зловмисників. 24 грудня, у Святвечір, Trust Wallet розмістив оновлення розширення у магазині Chrome Web Store. Більшість користувачів, перебуваючи у святковому настрої, оновили розширення автоматично або вручну.
Вже за кілька годин, уранці 25 грудня (за східноамериканським часом, з раннього до пізнього ранку), перші постраждалі помітили несанкціоновані перекази коштів. Після отримання численних скарг ZachXBT опублікував попередження у Telegram близько полудня за місцевим часом.
Несанкціоновані перекази тривали понад 30 годин, охопивши значний період після перших повідомлень. У цей час офіційні акаунти Trust Wallet продовжували публікувати святкові привітання та маркетингові кампанії, що різко контрастувало з ситуацією і викликало сильне невдоволення у спільноті.
Лише 26 грудня — більш ніж через 30 годин після початку інциденту — представники Trust Wallet публічно визнали уразливість у браузерному розширенні. Така затримка спричинила широку критику та ще більше занепокоїла користувачів.
03 Технічний аналіз: фатальна уразливість браузерного розширення
Експерти з безпеки припускають, що атаку могли здійснити двома шляхами: або під час оновлення було навмисно впроваджено шкідливий код, або ненавмисно додано експлуатовану уразливість.
Високі дозволи браузерних розширень Chrome роблять їх привабливою ціллю для атак. Такі розширення можуть зчитувати й змінювати будь-який вебконтент, до якого звертається користувач, перехоплювати мережеві запити, впроваджувати довільні скрипти та навіть отримувати доступ до локального сховища.
CISO компанії SlowMist додатково зазначив, що цей прорив міг бути спричинений компрометацією пристроїв розробників або репозиторію коду, і користувачі досі зазнають впливу. Такий аналіз підкреслює загрозу атак на ланцюжок постачання — зловмисникам не обов’язково зламувати сам гаманець, достатньо скомпрометувати будь-яку залежність вище за ланцюгом.
Дослідження з безпеки показують, що браузерні гаманці мають три системні ризики: автоматичні оновлення змушують користувачів приймати нові версії без перевірки коду; зловживання дозволами дозволяє легітимним розширенням додавати шкідливий код під час оновлень; уразливості ланцюжка залежностей означають, що додатки нижчого рівня можуть бути скомпрометовані без відома користувачів.
04 Відстеження руху коштів: маршрут відмивання хакерських активів
За даними моніторингу PeckShield, унаслідок експлуатації Trust Wallet хакери викрали понад $6 млн у криптоактивах у постраждалих. Ці кошти були швидко й автоматично переказані на групу гаманців, що контролюються зловмисниками.
Відстеження руху коштів виявляє системний процес відмивання:
| Статус коштів | Сума (орієнтовно, USD) | Основний напрямок або примітки |
|---|---|---|
| Досі на гаманцях хакерів | $2,8 млн | Розподілені між мережами Bitcoin, EVM та Solana |
| Переказані на централізовані біржі | Понад $4 млн | Надіслані на ChangeNOW, FixedFloat, KuCoin та інші |
Зокрема, близько $3,3 млн було відправлено на ChangeNOW, приблизно $340 000 — на FixedFloat, і близько $447 000 — на KuCoin. Така швидка та розпорошена схема переказів характерна для атак через розширення або фронтенд, і має на меті ускладнити відстеження.
Ончейн-аналітики виявили, що новостворений EVM-гаманець отримав транзакції від часток ETH до 7 ETH. На одній адресі досі зберігається понад 255 ETH, що еквівалентно близько $750 000.
У мережі Bitcoin одна адреса отримала понад 12 BTC (вартістю понад $1 млн) у 66 транзакціях, а інші гаманці загалом отримали 1,5 BTC.
05 Вплив на ринок і динаміка токена
Інцидент із Trust Wallet вплинув не лише на безпосередніх постраждалих, а й спричинив потрясіння на ширшому крипторинку. Як нативний утиліті-токен екосистеми гаманця, Trust Wallet Token (TWT) може зазнати тиску на зниження ціни.
Засновник SlowMist Ю Цзін додатково відзначив, що зловмисник добре знав вихідний код розширення Trust Wallet і впровадив PostHog JS для збору широкого спектра даних гаманців користувачів. Тривожним є те, що у виправленій версії Trust Wallet скрипт PostHog JS не було видалено.
Історично подібні інциденти безпеки спричиняли падіння цін пов’язаних токенів на 10–20% протягом 24 годин, а обсяги торгів зростали на тлі панічних продажів. Ця подія також може стимулювати інвесторів переходити до більш безпечних активів, таких як Bitcoin та Ethereum.
Станом на 26 грудня дані платформи Gate свідчать про обережні настрої на ринку, інвестори приділяють підвищену увагу питанням безпеки гаманців. Хоча CZ пообіцяв повне відшкодування, відновлення довіри ринку потребуватиме часу.
06 Інструкція для користувачів і рекомендації з безпеки
Якщо ви потенційно постраждали як користувач Trust Wallet, виконайте наступні кроки:
Крок 1: Перевірте та ізолюйте. Проаналізуйте свою історію транзакцій за останні 48 годин, звертаючи особливу увагу на несанкціоновані перекази токенів, взаємодії з контрактами чи підписання дозволів. Якщо виявили підозрілу активність, негайно вимкніть розширення Trust Wallet Chrome через chrome://extensions, видаливши або відключивши його.
Крок 2: Відновлення активів. Скористайтеся Revoke.cash або функцією Token Approvals на Etherscan для відкликання всіх дозволів DeFi. Створіть новий гаманець із новою seed-фразою — не відновлюйте зі старого гаманця. Переведіть залишки активів на новий гаманець і уникайте використання пристроїв, які могли бути скомпрометовані.
Крок 3: Повідомте та захищайтеся. ZachXBT радить постраждалим самостійно звертатися до правоохоронних органів і надавати детальні записи транзакцій. Хоча випадки крадіжки криптоактивів рідко розкриваються, офіційна фіксація інциденту важлива для майбутніх колективних позовів або страхових виплат.
Для користувачів Trust Wallet, які не постраждали, профілактичні заходи включають: припиніть використання розширення Chrome, перейдіть на мобільний додаток або апаратний гаманець; перегляньте та відкличте зайві дозволи DeFi-контрактів; утримайтеся від підписання нових транзакцій чи дозволів до з’ясування ситуації; регулярно створюйте резервні копії seed-фрази та зберігайте їх офлайн; розгляньте можливість переведення великих активів на апаратний гаманець.
Офіційний центр підтримки Trust Wallet оприлюднив порядок компенсації, і постраждалі можуть зареєструвати свої вимоги через цей канал. ZachXBT зазначив, що якщо Trust Wallet буде визнано відповідальним, платформа повинна буде компенсувати збитки користувачам.
Перспективи
Понад $4 млн із викрадених коштів уже переведено на біржі, такі як ChangeNOW, FixedFloat та KuCoin, і наслідки цього різдвяного пограбування досі відчуваються у криптоспільноті. За даними PeckShield, близько $2,8 млн залишаються на гаманцях під контролем хакерів.
Ю Цзін, експерт із безпеки, який виявив підозрілий скрипт у виправленій версії, продовжує попереджати у соціальних мережах. У світі цифрових активів безпека — це не разова подія, а нескінченний марафон.
Мовчання Trust Wallet і подальші дії визначать, як індустрія реагуватиме на кризи безпеки. Для кожного власника криптоактивів цей інцидент — суворе й однозначне нагадування: справжня безпека завжди у ваших руках.
