Trust Wallet запустил процесс компенсации, взяв на себя полную ответственность за потерю 7 миллионов долларов пользователей кошелька

Trust Wallet запускает процесс компенсации для пострадавших от инцидента безопасности версии v2.68 расширения для Chrome, в результате которого хакеры похитили цифровые активы на сумму около 7 миллионов долларов у сотен кошельков. Основатель Binance CZ подтвердил, что компания возьмет на себя все убытки пострадавших пользователей, и они могут подать заявку на компенсацию через официальный сайт.

Утечка API-ключей Trust Wallet вызвала цепочку атак

Генеральный директор Trust Wallet Eowyn Chen в ходе расследования раскрыла основные методы атаки. Хакеры получили API-ключи Trust Wallet для Chrome Web Store, которые изначально предназначались только для внутреннего использования при выпуске обновлений. Используя этот «универсальный ключ», в 12:32 UTC 24 декабря злоумышленники обошли стандартный внутренний процесс выпуска и напрямую загрузили изменённую версию v2.68 в Chrome Web Store.

Этот тип атаки в сфере информационной безопасности называется «цепочной атакой» (Supply Chain Attack), при которой злоумышленники не атакуют напрямую конечных пользователей, а внедряются в канал распространения программного обеспечения, маскируя вредоносный код под официальное обновление и распространяя его всем пользователям. Поскольку обновление поступает из официального магазина и подписано действительным сертификатом, пользователи и браузеры не могут определить его вредоносность. У Trust Wallet около миллиона пользователей расширений Chrome, и потенциальное воздействие такой атаки очень широко.

Компания по безопасности блокчейнов SlowMist в техническом анализе указала, что вредоносный код использовал модифицированную открытую библиотеку анализа. Тщательно спроектированный код при входе пользователя в расширение тихо собирал мнемоническую фразу кошелька и отправлял её на сервер, контролируемый хакерами. Мнемоническая фраза — это главный ключ доступа к криптовалютному кошельку, и при её утечке злоумышленники могут полностью контролировать все активы жертвы. Chen отметил, что пользователи, вошедшие в расширение до 11:00 26 декабря (UTC), могли уже пострадать.

Trust Wallet в день Рождества получил тревожное сообщение от цепочного аналитика ZachXBT в Telegram и немедленно запустил экстренные меры. Команда выпустила 25 декабря версию v2.69 с исправлением уязвимости и удалила вредоносную версию из Chrome Web Store. Однако пользователи, вошедшие в вредоносную версию, могли уже утратить свои мнемонические фразы, и последующие обновления не смогут вернуть потерянное.

Отслеживание 7 миллионов долларов украденных средств

Компания по безопасности блокчейнов PeckShield с помощью анализа цепочки проследила за движением украденных средств. Около 7 миллионов долларов цифровых активов было похищено на нескольких блокчейнах, включая Bitcoin, Ethereum и Solana. Злоумышленники применили стратегию быстрого обналичивания: более 4 миллионов долларов украденных средств уже переведены через централизованные биржи ChangeNOW, FixedFloat и KuCoin. По состоянию на четверг, около 2,8 миллиона долларов всё ещё находятся на кошельках злоумышленников.

Такая схема движения средств свидетельствует о высокой профессиональной подготовке злоумышленников к отмыванию денег. ChangeNOW и FixedFloat — это обменники без KYC, часто используемые для маскировки происхождения средств. Перевод части средств на крупные биржи, такие как KuCoin, может быть направлен на дальнейшее дробление или вывод наличных. Анализ цепочки прозрачный, но как только деньги попадают на централизованные биржи или в миксеры, возврат становится значительно сложнее.

Стоит отметить, что атака произошла накануне Рождества — типичная тактика хакеров. В праздничные дни у команд по безопасности снижается численность персонала и скорость реагирования, что дает злоумышленникам больше времени для перевода активов. Trust Wallet за примерно 24 часа выпустила исправленную версию, но у злоумышленников уже было достаточно времени для первой волны переводов.

На данный момент только расширение Trust Wallet для Chrome пострадало; мобильные приложения (iOS и Android) и другие версии браузеров (например, Firefox, Edge) не затронуты этим инцидентом. Это связано с тем, что разные платформы используют отдельные каналы распространения и API-ключи, и злоумышленники получили только доступ к выпуску в Chrome Web Store.

Официальный процесс компенсации и предупреждение о мошенничестве

Trust Wallet запустила на официальном сайте форму подачи заявлений на компенсацию. Пострадавшие пользователи должны предоставить следующую информацию для подачи заявки:

Необходимая информация для подачи заявки

· Основные личные данные: адрес электронной почты и страна/регион проживания, для подтверждения личности и дальнейшей связи

· Подтверждение похищенного кошелька: адрес украденного кошелька и адрес получателя злоумышленника, необходимо предоставить полный формат цепочного адреса

· Доказательства транзакций: соответствующие хэш-суммы транзакций (Transaction Hash), как доказательство похищения средств в цепочке

Команда Trust Wallet заявила: «Мы работаем день и ночь, чтобы окончательно определить детали процесса компенсации. Каждый случай требует тщательной проверки для обеспечения точности и безопасности.» Такой механизм проверки предназначен для предотвращения ложных заявлений, но также означает, что выплата компенсаций займет некоторое время. Основатель Binance CZ ясно заявил в X: «Trust Wallet возьмет на себя все убытки», подчеркнув, что средства пользователей «в безопасности». Binance приобрела Trust Wallet в 2018 году, и это обещание демонстрирует решимость материнской компании защищать репутацию бренда.

Trust Wallet особенно напоминает пользователям остерегаться фальшивых форм компенсации и мошенничества с личными данными после инцидента. Хакеры и мошенники часто используют такие ситуации для нанесения второго удара, создавая поддельные формы для кражи дополнительных личных данных или мнемонических фраз. Пользователи должны подавать заявки только через официальный сайт Trust Wallet или проверенные официальные каналы сообщества, избегая перехода по сомнительным ссылкам и не раскрывая мнемоническую фразу никому.

Этот инцидент подчеркивает системные риски централизованных каналов распространения. Даже децентрализованные кошельки зависят от обновлений программного обеспечения через платформы Google, Apple и др. Ненадлежащее управление API-ключами может привести к рискам для всей аудитории. Trust Wallet необходимо пересмотреть механизмы хранения ключей, внедрить аппаратные модули безопасности (HSM) или многофакторное управление для повышения уровня защиты. Для пользователей важно регулярно делать резервные копии мнемонических фраз, использовать аппаратные кошельки для хранения крупных активов и следить за официальными объявлениями о безопасности, чтобы снизить риск подобных инцидентов.