Хакерская атака на расширение Trust Wallet привела к потере миллионов долларов

Крупное происшествие в криптоиндустрии связано с массовой компрометацией популярного браузерного кошелька. В результате хакерской атаки пользователи популярного расширения Trust Wallet для браузера Google Chrome потеряли миллионы долларов в цифровых активах, средства бесследно исчезали с их счетов.

Инцидент стал широко известен после публикации известного исследователя безопасности и эксперта по блокчейн-аналитике ZachXBT. Он предположил, что уязвимость связана с вредоносным обновлением расширения. Позже факт атаки подтвердили официальные разработчики кошелька, указав, что под угрозой оказались пользователи версии 2.68, и настоятельно рекомендовав немедленно перейти на обновленную версию 2.69. Тем, кто еще не успел установить исправление, было рекомендовано временно не запускать расширение для обеспечения безопасности средств (фото: ru.freepik.com).

По последним оценкам основателя биржи Binance и владельца Trust Wallet Чанпэна Чжао, общий ущерб от взлома составил не менее 7 миллионов долларов. Он также заявил, что все подтвержденные потери пользователей будут полностью возмещены, хотя конкретный механизм компенсации пока не раскрыт.

Технические детали атаки остаются неизвестными, разработчики воздерживаются от комментариев о способе ее реализации. По предварительным данным, злоумышленникам каким-то образом удалось внедрить вредоносный код в официальное обновление, выпущенное через магазин расширений Chrome. Этот инцидент стал еще одним тревожным звонком для всей экосистемы криптовалютных кошельков, подчеркивающим уязвимость пользователей перед целенаправленными атаками на цепочки поставок программного обеспечения. Подобные случаи, когда злоумышленники взламывают аккаунты разработчиков или сами репозитории для распространения вредоносных обновлений, ранее уже фиксировались в отношении других проектов.

Trust Wallet, являясь одним из самых распространенных некастодиальных кошельков, обеспечивает пользователям полный контроль над их приватными ключами. Однако эта философия также означает, что компания не может в одностороннем порядке остановить несанкционированные транзакции или восстановить доступ к средствам, если приватные ключи скомпрометированы. Инцидент привлек внимание к важности проверки хеш-сумм обновлений и использования аппаратных кошельков для хранения крупных сумм. На данный момент команда продолжает расследование для выявления корневой причины уязвимости и предотвращения подобных атак в будущем. Федор Аверьев