Утечка кода хакера Trust Wallet: $6M криптовалюты украдены через вредоносное расширение

Изысканная атака, нацеленная на пользователей Trust Wallet, привела к краже более $6 миллионов в цифровых активах, выявив одну из самых серьезных уязвимостей безопасности в области криптовалютных кошельков. Атака включала внедрение хакерского кода непосредственно в исходный код расширения браузера — развитие, которое исследователи безопасности классифицируют как операцию Advanced Persistent Threat (APT).

Как хакерский код эксплуатировал пользователей Trust Wallet

8 декабря 2025 года злоумышленники зарегистрировали вредоносный домен metrics-trustwallet.com. Две недели спустя, 21-22 декабря, исследователи безопасности обнаружили первые попытки утечки данных. Хакерский код работал через обманчиво простое, но эффективное механизмы: когда пользователи разблокировали расширение Trust Wallet (версии 2.68), вредоносный код перехватывал их зашифрованные фразы seed.

Уязвимость не была введена через скомпрометированную стороннюю библиотеку или зависимость — вместо этого злоумышленники напрямую внедрили вредоносный код в внутренний код Trust Wallet. Это важное отличие: оно говорит о том, что злоумышленники получили доступ к инфраструктуре разработки или системам развертывания Trust Wallet за несколько недель до того, как атака стала публичной.

Методология атаки основывалась на краже зашифрованных мнемонических фраз пользователей, используя пароли или ключи доступа, которые они вводили при разблокировке кошелька. Хакерский код затем расшифровывал эти фразы и передавал их на командный и управляющий сервер злоумышленников (api.metrics-trustwallet[.]com), предоставляя хакерам полный контроль над скомпрометированными кошельками.

Внутри атаки: технический разбор вредоносного хакерского кода

Исследователи безопасности из SlowMist провели детальный анализ, сравнивая версии 2.67 и 2.68 расширения Trust Wallet. Результаты показали, как именно функционировал хакерский код на уровне приложения.

Вредоносная нагрузка проходила по всем кошелькам, хранящимся в расширении, и отправляла запросы на извлечение зашифрованной мнемонической фразы пользователя. После получения, код расшифровывал фразу с помощью введенных пользователем учетных данных при разблокировке кошелька. Если расшифровка удавалась — что происходило для каждого легитимного пользователя — раскрытая мнемоническая фраза автоматически отправлялась на сервер злоумышленников.

Сложность этого хакерского кода указывает на профессиональную разработку. Злоумышленники использовали легитимную библиотеку аналитики PostHogJS в качестве прикрытия, перенаправляя легитимные данные аналитики на свою вредоносную инфраструктуру. Эта техника позволяла коду сливаться с обычными операциями кошелька, избегая немедленного обнаружения.

Динамический анализ атаки показал, что после расшифровки данные мнемонической фразы внедрялись в поле сообщения об ошибке в сетевых запросах — хитрая техника маскировки, которая позволяла украденным учетным данным проходить через сетевой трафик без немедленных тревог. Анализ трафика BurpSuite подтвердил, что украденные фразы восстановления постоянно упаковывались в поле errorMessage перед отправкой на сервер злоумышленников.

Отслеживание украденных активов и инфраструктуры злоумышленников

Согласно данным, раскрытым исследователем безопасности zachxbt, грабеж привел к значительным потерям на нескольких блокчейнах:

• Блокчейн Bitcoin: украдено примерно 33 BTC, оценка около $2.96 миллиона (по текущим курсам $89.57K за BTC на январь 2026)
• Ethereum и сети Layer 2: около $3 миллионов в совокупных потерях
• Блокчейн Solana: примерно $431 украдено
• Другие сети: дополнительные потери в различных экосистемах блокчейнов

Анализ после кражи показывает, что злоумышленники сразу начали перемещать и обменивать украденные активы через децентрализованные мосты и несколько централизованных бирж, вероятно, пытаясь скрыть происхождение средств и усложнить восстановление.

Сам вредоносный домен был зарегистрирован 8 декабря 2025 года в 02:28:18 UTC через регистратор NICENIC INTERNATIONA. Временной промежуток между регистрацией домена и первыми зафиксированными попытками утечки данных указывает на тщательно скоординированную операцию — код хакера был не спешно развернут, а частью хорошо спланированной кампании.

Немедленные меры: защита вашего кошелька от подобных атак на основе кода

Команда разработчиков Trust Wallet подтвердила уязвимость в версии 2.68 и выпустила срочное руководство по безопасности. Официальный ответ включал следующие важные инструкции:

Если вы используете расширение Trust Wallet:

1. Немедленно отключитесь от интернета — это ваш первый шаг перед любыми действиями по устранению неполадок. Оставаться подключенным, пока ваш кошелек потенциально скомпрометирован, увеличивает риск полной потери активов.

2. Экспортируйте ваши приватные ключи или мнемонические фразы офлайн, затем немедленно удалите расширение Trust Wallet. Ни в коем случае не возвращайтесь к версии 2.68.

3. Обновите до версии 2.69 только после того, как переведете средства на полностью новый, безопасный кошелек (либо на другое приложение кошелька, аппаратный кошелек или новую учетную запись с вновь сгенерированной фразой восстановления).

4. Переведите все средства на новый адрес кошелька как можно скорее. Любая криптовалюта, оставшаяся в кошельках, ранее доступных через скомпрометированную версию 2.68, должна считаться под угрозой.

Уязвимость хакерского кода затрагивает всех пользователей, у которых установлена версия 2.68, независимо от того, активно ли они использовали расширение — вредоносный код выполняется автоматически при разблокировке кошелька.

Почему это угроза уровня APT

Аналитики безопасности классифицируют эту атаку как сложную операцию Advanced Persistent Threat (APT) по нескольким убедительным причинам. Во-первых, масштаб и координация указывают на профессиональных злоумышленников, а не на случайных хакеров. Во-вторых, предполагаемый доступ злоумышленников к системам разработки или развертывания Trust Wallet свидетельствует о целенаправленной компрометации инфраструктуры, а не только публичного приложения кошелька.

Точность работы хакерского кода — его способность целенаправленно атаковать механизмы разблокировки кошелька, расшифровывать защищенные фразы и передавать данные через легитимные запросы аналитики — демонстрирует продвинутые технические возможности. Месячной разрыв между регистрацией домена и обнаружением атаки говорит о тщательном планировании и разведке.

Этот инцидент служит ярким напоминанием о том, что даже хорошо зарекомендовавшие себя и ресурсоемкие проекты могут стать жертвами сложных атак цепочки поставок. Хакерский код был встроен не как внешняя угроза, а как часть самого легитимного приложения, что делает его обнаружение чрезвычайно сложным для конечных пользователей до тех пор, пока исследователи безопасности не выявят аномалию.

Критическое напоминание: Пользователи должны предполагать, что любые криптовалюты, хранящиеся в кошельках, ранее подключенных к Trust Wallet версии 2.68, теперь под угрозой, и немедленно перейти на безопасные альтернативы.