Як розширення браузера Trust Wallet зливало активи – покрокове пояснення

Хід інциденту безпеки: від встановлення до крадіжки

Грудень 2024 став поворотним моментом для безпеки браузерних гаманців. Офіційне оновлення для розширення Trust Wallet Browser-Extension виглядало безпечним, але містило приховану логіку, яка систематично висмоктувала кошти користувачів — мільйони доларів за кілька хвилин.

Фаза 1: підозріле оновлення

24 грудня з’явилася нова версія розширення. Зовні вона здавалася безпечною:

• Не було попереджень про безпеку у релізних нотатках
• Стандартний процес оновлення
• Користувачі встановлювали її як зазвичай

Обман був успішним. Ніхто одразу не помітив, що це не звичайне технічне оновлення.

Фаза 2: приховані зміни коду у JavaScript-файлі

Дослідники безпеки, аналізуючи файли розширення, виявили нову логіку у 4482.js. Це був перший сигнал тривоги. У гаманцевому розширенні кожна нова вихідна комунікація має підлягати суворому контролю — тут її порушили.

Фаза 3: маскування під легітимний аналітичний код

Зловмисна логіка була хитро замаскована:

• Виглядала як стандартний телеметричний код
• Не активувалася постійно
• Запускалася лише за певних умов

Такий дизайн значно ускладнював її виявлення. Простий тест міг не виявити підозрілий код.

Фаза 4: критичний тригер — імпорт Seed-паролі

Аналіз зворотнього інжинірингу показує, що логіка активувалася саме тоді, коли користувач імпортував Seed-пароль у розширення. Це був ідеальний момент для зловмисників — адже:

• Seed-пароль дає повний контроль над гаманцем
• Це зазвичай одноразовий процес
• Злочинці потрібно діяти лише один раз

Користувачі, які використовували лише існуючі гаманці, можливо, уникали цього тригера.

Фаза 5: ексфільтрація даних на фальшивий домен

Якщо умова виконувалася, код нібито надсилав дані гаманця на зовнішній сервер:

metrics-trustwallet[.]com

Обман був ідеальним:

• Назва домену нагадувала справжню піддомен Trust Wallet
• Він був зареєстрований за кілька днів до
• Не був опублікований у відкритих джерелах
• Незабаром після цього став офлайн

Фаза 6: автоматизоване виведення коштів

Після імпорту Seed-паролів тисячі гаманців були порожніми вже за кілька хвилин:

• Транзакції відбувалися за лічені хвилини
• Одночасно рухалися кілька активів
• Людська взаємодія не потрібна

Дані у блокчейні показували автоматизовані шаблони — зловмисники мали достатньо контролю для підписання транзакцій самостійно.

Фаза 7: консолідація через кілька гаманців

Вкрадені кошти перетікали через десятки акаунтів зловмисників. Це не було випадковістю:

• Багато цільових адрес знижували ризики слідства
• Автоматизоване скриптування було очевидним
• Поведінка відповідала професійним експлойтам

Загальні оцінки на основі відстежених транзакцій — кілька мільйонів доларів.

Фаза 8: швидке змивання слідів

Після сигналу спільноти:

• Підозрілий домен був вимкнений
• Не було одразу офіційного пояснення
• Скриншоти та кешовані докази стали критичними

Це класична поведінка зловмисника: знищити інфраструктуру, щойно вона зламано.

Фаза 9: запізніле офіційне підтвердження

Trust Wallet нарешті підтвердив:

• Інцидент торкнувся конкретних версій розширення
• Мобільні користувачі не постраждали
• Рекомендувалося негайне оновлення або деактивація

Однак залишилися питання:

• Чому існував цей домен?
• Чи були розкриті Seed-паролі?
• Чи брали участь внутрішні або зовнішні актори?

Ці прогалини підсилювали спекуляції.

Що ми точно знаємо

✓ Оновлення браузерного розширення спричинило підозрілі вихідні з’єднання ✓ Користувачі втратили кошти одразу після імпорту Seed-паролю ✓ Інцидент був обмежений певними версіями ✓ Trust Wallet підтвердив порушення безпеки

Що свідчать сильні натяки

→ Зловмисне впровадження коду у ланцюг поставок → Seed-паролі або можливості підпису були скомпрометовані → Аналізуючий код був використаний як зброя

Що ще залишається невирішеним

? Чи навмисно був вставлений цей код або він був скомпрометований на верхньому рівні ? Точна кількість постраждалих користувачів ? Ідентичність зловмисників ? Чи були викрадені ще якісь чутливі дані

Чому цей інцидент стосується всієї індустрії

Цей випадок був не стандартною фішинговою атакою. Він показує:

Крихкість браузерних розширень — вони мають доступ до приватних ключів і Seed-паролів. Невелика помилка у коді або вразливість може бути катастрофічною.

Ризик сліпої довіри до оновлень — користувачі автоматично встановлюють оновлення, не перевіряючи код. Оновлення — ідеальний вектор атаки.

Як може бути зловживаний аналітичний код — функції телеметрії виглядають легітимно, але можуть зливати чутливі дані.

Критичний момент: управління Seed-паролем — імпорт Seed-паролю є найнебезпечнішим моментом у використанні гаманця.

Короткочасна помилка або навмисна вразливість може дозволити вкрасти мільйони за кілька хвилин.

Урок: у криптографічній безпеці немає дрібниць. Кожне оновлення заслуговує на обережність, а не довіру.