Trust Wallet запускає процес компенсації, беручи на себе повну втрату користувачівського гаманця на суму 7 мільйонів доларів США

Trust Wallet активував процес компенсації для постраждалих від безпекової події у версії розширення Chrome v2.68. Ця хакерська атака спричинила втрату кількох сотень гаманців, приблизно на 7 мільйонів доларів цифрових активів. Засновник Binance CZ підтвердив, що компанія візьме на себе всі збитки постраждалих користувачів, і потерпілі можуть подати заявку на компенсацію через офіційний сайт.

Витік API-ключів Trust Wallet спричинив атакуванню ланцюга постачання

Генеральний директор Trust Wallet Eowyn Chen у подальшому розслідуванні розкрив основну методику атаки. Хакери отримали API-ключ для Chrome Web Store Trust Wallet, цей ключовий сертифікат був призначений лише для внутрішнього використання командою для публікації оновлень. Зловмисники використали цей «універсальний ключ», щоб 24 грудня о 12:32 за UTC обійти стандартний внутрішній процес публікації Trust Wallet і безпосередньо у Chrome Store завантажити змінений варіант v2.68.

Такий метод атаки у сфері кібербезпеки називається «атака на ланцюг постачання»: зловмисники не атакують користувачів безпосередньо, а проникають у процеси публікації програмного забезпечення постачальника, маскуючи шкідливий код під офіційне оновлення і поширюючи його всім користувачам. Оскільки оновлення походить з офіційного магазину і підписане дійсним сертифікатом, користувачі та браузери не можуть визначити його шкідливий характер. Trust Wallet має близько мільйона користувачів Chrome-розширень, тому потенційний вплив такої атаки дуже широкий.

Компанія з безпеки блокчейнів SlowMist у технічному аналізі зазначила, що шкідливий код використовує модифіковану відкриту бібліотеку аналізу. Витончений код, розроблений зловмисниками, при вході користувача у розширення тихо збирає мнемонічний фразу гаманця і відправляє її на сервер, контрольований хакерами. Мнемонічна фраза — це найвищий рівень доступу до криптовалютного гаманця, і її витік може дозволити зловмисникам повністю контролювати всі активи жертви. Chen зазначила, що користувачі, які увійшли у розширення до 11:00 26 грудня (UTC), можливо, вже постраждали.

Trust Wallet у день Різдва отримав попередження від блокчейн-детективу ZachXBT у Telegram і негайно запустив екстрені заходи. Команда 25 грудня випустила версію v2.69 для виправлення вразливості і видалила шкідливу версію з Chrome Store. Однак користувачі, які увійшли у шкідливу версію, можливо, вже втратили свої мнемонічні фрази, і навіть подальше оновлення не зможе повернути втрачене.

700 мільйонів доларів викрадених коштів: слідство за потоком

Компанія з безпеки блокчейнів PeckShield за допомогою аналізу на ланцюгу простежила рух викрадених коштів. Близько 7 мільйонів доларів цифрових активів було викрадено на кількох основних блокчейнах, включаючи Bitcoin, Ethereum і Solana. Зловмисники застосували швидкий метод конвертації, понад 4 мільйони доларів вже переведено через централізовані біржі ChangeNOW, FixedFloat і KuCoin. До четверга близько 2,8 мільйонів доларів залишаються на гаманцях зловмисників.

Такий сценарій руху коштів свідчить про високий рівень професіоналізму з боку зловмисників у відмиванні грошей. ChangeNOW і FixedFloat — це біржі без KYC, які часто використовуються для ускладнення походження коштів. Переведення частини коштів на великі біржі, такі як KuCoin, може бути для подальшого розподілу або конвертації. Хоча аналіз на ланцюгу прозорий, але коли кошти потрапляють на централізовані біржі або у міксери, їх повернення стає значно складнішим.

Варто зазначити, що час атаки припав на переддень Різдва — типову тактику хакерів. У святковий період у команд безпеки менше ресурсів, і швидкість реагування знижується, що дає зловмисникам більше часу для переказу активів. Trust Wallet за приблизно 24 години випустив оновлення для виправлення, але зловмисники вже мали достатньо часу для першої хвилі переказів.

Зараз лише розширення Trust Wallet для Chrome піддалося атаці; мобільні додатки (iOS і Android) та інші версії для браузерів (наприклад, Firefox, Edge) не постраждали. Це пов’язано з тим, що різні платформи використовують окремі процеси публікації та API-ключі, і зловмисники отримали доступ лише до публікації у Chrome Store.

Офіційний процес компенсації та попередження про шахрайство

Trust Wallet запустив офіційну форму для подання заявок на компенсацію на офіційному сайті. Постраждалі користувачі мають надати таку інформацію для отримання відшкодування:

Обов’язкова інформація для заявки на компенсацію

· Основні дані: електронна пошта та країна/регіон проживання для ідентифікації та подальшого зв’язку

· Документальні підтвердження гаманця: адреса викраденого гаманця та адреса отримувача зловмисників, потрібно надати у повному форматі ланцюга

· Свідчення транзакцій: відповідні хеші транзакцій (Transaction Hash), що підтверджують факт викрадення коштів у ланцюгу

Команда Trust Wallet заявила: «Ми працюємо цілодобово, щоб остаточно визначити деталі процесу компенсації. Кожен випадок потребує ретельної перевірки для забезпечення точності та безпеки». Така процедура перевірки спрямована на запобігання фальшивих заяв, але також означає, що виплата компенсацій може зайняти певний час. Засновник Binance CZ у Twitter чітко пообіцяв: «Trust Wallet візьме на себе всі збитки», і підкреслив, що кошти користувачів «у безпеці». Binance придбав Trust Wallet у 2018 році, і ця обіцянка демонструє намір материнської компанії підтримувати репутацію бренду.

Trust Wallet особливо наголошує користувачам бути обережними щодо фальшивих форм компенсації та шахрайських схем, що з’явилися після інциденту. Хакери та шахраї часто використовують події безпеки для створення додаткових атак, підробляючи офіційні форми і крадучи додаткову особисту інформацію або мнемонічні фрази. Користувачам слід подавати заявки лише через офіційний сайт Trust Wallet або через перевірені офіційні канали спільноти, і не натискати на підозрілі посилання або розголошувати мнемонічні фрази нікому.

Цей інцидент підкреслює системний ризик централізованих процесів публікації. Навіть у децентралізованих гаманцях оновлення програмного забезпечення все одно залежить від платформ Google, Apple тощо. Недбале управління API-ключами може поставити під загрозу всю групу користувачів. Trust Wallet потрібно переглянути механізми зберігання ключів, застосовуючи апарати безпеки (HSM) або багатопідписні рішення для підвищення рівня захисту. Для користувачів важливо регулярно робити резервні копії мнемонічних фраз, використовувати апаратні гаманці для зберігання великих сум і слідкувати за офіційними повідомленнями про безпеку для зменшення ризиків подібних інцидентів.