Как расширение браузера Trust Wallet украло активы – пошаговое объяснение

Ход инцидента безопасности: от установки до кражи

Декабрь 2024 года стал поворотным моментом для безопасности браузерных кошельков. Обычное обновление расширения Trust Wallet для браузера содержало скрытую логику, которая систематически опустошала аккаунты пользователей — миллионы долларов за считанные минуты.

Фаза 1: Подозрительное обновление

24 декабря вышла новая версия расширения. На первый взгляд она выглядела безобидной:

• В журнале обновлений не было предупреждений о безопасности
• Стандартный процесс обновления
• Пользователи устанавливали его как обычно

Обман оказался успешным. Никто сразу не заметил, что это не обычное техническое обслуживание.

Фаза 2: Скрытые изменения кода в JavaScript-файле

Исследователи безопасности, анализировавшие файлы расширения, обнаружили новую логику в 4482.js. Это был первый тревожный сигнал. В расширении для кошелька каждая исходящая коммуникация должна подвергаться строгому контролю — здесь же была прорвана стена.

Фаза 3: Маскировка под легитимный аналитический код

Вредоносная логика была хитро замаскирована:

• Она выглядела как стандартный телеметрический код
• Она не активировалась постоянно
• Работала только при определённых условиях

Этот дизайн значительно усложнял обнаружение. Простые тесты могли не выявить подозрительный код.

Фаза 4: Ключевой триггер — импорт seed-фразы

Анализы обратного проектирования показывают, что логика активировалась именно тогда, когда пользователь импортировал seed-фразу в расширение. Это был идеальный момент для злоумышленников — потому что:

• Seed-фраза даёт полный контроль над кошельком
• Обычно это однократный процесс
• Криминальные действия требуют только одного раза

Пользователи, использующие только существующие кошельки, могли обойти этот триггер.

Фаза 5: Эксплуатация данных на фальшивом домене

Когда условие выполнялось, код якобы отправлял данные кошелька на внешний сервер:

metrics-trustwallet[.]com

Обман был совершенен:

• Имя домена напоминало поддомен настоящего Trust Wallet
• Он был зарегистрирован за несколько дней до этого
• Он нигде не был публично задокументирован
• Вскоре после этого он был отключён

Фаза 6: Автоматизированное похищение средств

Вскоре после импорта seed-фраз тысячи кошельков были опустошены:

• Транзакции происходили за считанные минуты
• Перемещались сразу несколько активов
• Не требовалось человеческое вмешательство

Данные в блокчейне показывали автоматизированные схемы — злоумышленники имели достаточно контроля, чтобы подписывать транзакции самостоятельно.

Фаза 7: Консолидация через несколько кошельков

Украденные средства поступали через десятки аккаунтов злоумышленников. Это не было случайностью:

• Несколько целевых адресов снижали риск обнаружения
• Автоматизированное скриптование было очевидным
• Поведение соответствовало профессиональным эксплойтам

Общие оценки, основанные на отслеженных транзакциях: несколько миллионов долларов.

Фаза 8: Быстрое сокрытие следов

После тревоги в сообществе:

• Подозрительный домен был отключён
• Немедленных публичных заявлений не последовало
• Скриншоты и кэшированные доказательства были критичны

Это классическая тактика злоумышленников: разрушить инфраструктуру, как только она скомпрометирована.

Фаза 9: Позднее официальное подтверждение

Trust Wallet в конце подтвердил:

• Инцидент безопасности затронул конкретные версии расширения
• Мобильные пользователи не пострадали
• Было рекомендовано немедленно обновить или отключить расширение

Однако остались вопросы:

• Почему существовал этот домен?
• Были ли раскрыты seed-фразы?
• Участвовали ли внутренние или внешние акторы?

Эти пробелы породили спекуляции.

Что мы точно знаем

✓ Обновление браузерного расширения привело к подозрительным исходящим соединениям ✓ Пользователи потеряли средства сразу после импорта seed-фразы ✓ Инцидент был ограничен определёнными версиями ✓ Trust Wallet подтвердил факт нарушения безопасности

На что указывают сильные признаки

→ Вредоносная инъекция кода в цепочку поставок → Seed-фразы или возможности подписи были скомпрометированы → Аналитический код был использован как оружие

Что ещё остаётся неизвестным

? Был ли код намеренно внедрён или скомпрометирован upstream ? Точное число пострадавших пользователей ? Идентичность злоумышленников ? Были ли украдены другие чувствительные данные

Почему этот инцидент затрагивает всю индустрию

Этот инцидент — не стандартная фишинговая атака. Он показывает:

Уязвимость браузерных расширений — они имеют доступ к приватным ключам и seed-фразам. Маленькая ошибка кода или уязвимость могут иметь катастрофические последствия.

Риск слепого доверия при обновлениях — пользователи автоматически устанавливают обновления, не проверяя код. Обновления — идеальный вектор атаки.

Как может быть использован анализирующий код — функции телеметрии выглядят легитимно, но могут похищать чувствительные данные.

Критический момент: управление seed-фразой — импорт seed-фразы — самый опасный момент в использовании кошелька.

Кратковременная ошибка или специально вставленная уязвимость могут позволить украсть миллионы за минуты.

Урок: В криптобезопасности нет мелочей. Каждый обновление требует осторожности, а не доверия.