Злом коду хакера Trust Wallet: $6M украдено у криптовалюті через зловмисне розширення

Розумна атака, спрямована на користувачів Trust Wallet, призвела до крадіжки понад $6 мільйонів у цифрових активів, викривши одну з найсерйозніших вразливостей у сфері криптовалютних гаманців. Атака включала безпосередню вставку хакерського коду у вихідний код розширення браузера — розвиток, який дослідники безпеки класифікують як операцію Advanced Persistent Threat (APT).

Як хакерський код експлуатував користувачів Trust Wallet

8 грудня 2025 року зловмисники зареєстрували зловмисний домен metrics-trustwallet.com. Через два тижні, 21-22 грудня, дослідники безпеки зафіксували перші спроби витоку даних. Хакерський код працював через ілюзорно простий, але ефективний механізм: коли користувачі розблоковували розширення Trust Wallet (версії 2.68), зловмисний код перехоплював їх зашифровані фрази насіння.

Вразливість не була введена через скомпрометовану сторонню бібліотеку або залежність — натомість, зловмисники безпосередньо вставили шкідливий код у внутрішню базу коду Trust Wallet. Це важливо: це свідчить про те, що зловмисники отримали доступ до інфраструктури розробки або систем розгортання Trust Wallet за кілька тижнів до того, як атака стала публічною.

Методологія атаки базувалася на крадіжці зашифрованих мнемонічних фраз користувачів, використовуючи паролі або ключі доступу, які вони вводили при розблокуванні гаманця. Хакерський код потім розшифровував ці фрази і передавав їх на командно-контрольний сервер зловмисників (api.metrics-trustwallet[.]com), надаючи хакерам повний контроль над скомпрометованими гаманцями.

Внутрішній аналіз атаки: технічне розбиття шкідливого хакерського коду

Дослідники безпеки з SlowMist провели детальний аналіз, порівнюючи версії 2.67 і 2.68 розширення Trust Wallet. Виявлено, як саме функціонував хакерський код на рівні додатку.

Зловмисне навантаження проходило через усі збережені гаманці у розширенні і надсилало запити для витягання зашифрованої мнемонічної фрази користувача. Після отримання, код розшифровував фразу за допомогою введених користувачем облікових даних для розблокування гаманця. Якщо розшифровка успішно завершувалася — що відбувалося для кожного легітимного користувача — відкриті мнемонічні фрази автоматично надсилалися на сервер зловмисників.

Складність цього хакерського коду свідчить про професійний рівень розробки. Зловмисники використовували легітимну бібліотеку аналітики PostHogJS як прикриття, перенаправляючи легітимні дані аналітики до своєї шкідливої інфраструктури. Ця техніка дозволяла хакерському коду зливатися з нормальними операціями гаманця, уникаючи негайного виявлення.

Динамічний аналіз атаки показав, що після розшифровки дані мнемонічної фрази вставлялися у поле повідомлення про помилку у мережевих запитах — хитрий спосіб обфускації, що дозволяв краденим обліковим даним проходити через мережевий трафік без підвищення тривоги. Аналіз трафіку BurpSuite підтвердив, що крадені фрази відновлення систематично пакувалися у поле errorMessage перед передачею на сервер зловмисників.

Відстеження вкрадених активів і інфраструктури зловмисників

Згідно з даними, оприлюдненими дослідником безпеки zachxbt, крадіжка призвела до значних втрат на кількох блокчейнах:

• Блокчейн Bitcoin: приблизно 33 BTC викрадено, оцінюючи приблизно у $2.96 мільйонів (за поточним курсом $89.57K за BTC станом на січень 2026)
• Ethereum та мережі Layer 2: близько $3 мільйонів у сумарних втратах
• Solana: приблизно $431 вкрадено
• Інші мережі: додаткові втрати з різних екосистем блокчейнів

Після крадіжки аналіз показує, що зловмисники одразу почали переміщати і обмінювати вкрадені активи через децентралізовані мости і кілька централізованих бірж, ймовірно, намагаючись приховати походження коштів і ускладнити відновлення.

Зловмисний домен був зареєстрований 8 грудня 2025 року о 02:28:18 UTC через реєстратор NICENIC INTERNATIONA. Час між реєстрацією домену і першими зафіксованими спробами витоку даних свідчить про ретельно скоординовану операцію — хакерський код був не поспішно розгорнутий, а частиною добре спланованої кампанії.

Негайні дії: захистіть свій гаманець від подібних атак на основі коду

Команда розробників Trust Wallet підтвердила вразливість у версії 2.68 і випустила термінове рекомендаційне повідомлення з безпеки. Офіційна реакція включала ці ключові вказівки:

Якщо ви використовуєте розширення Trust Wallet:

1. Негайно від’єднайтеся від інтернету — це має бути перший крок перед будь-якими діями з усунення несправностей. Залишатися підключеним, коли ваш гаманець потенційно скомпрометований, збільшує ризик повної втрати активів.

2. Експортуйте приватні ключі або мнемонічні фрази офлайн, потім негайно видаліть розширення Trust Wallet. Не повторно активуйте версію 2.68 ні за яких обставин.

3. Оновіть до версії 2.69 лише після переміщення коштів на новий, безпечний гаманець (будь-який інший додаток для гаманця, апаратний гаманець або новий обліковий запис з новоствореною фразою відновлення).

4. Переведіть усі кошти на нову адресу гаманця якомога швидше. Всі криптовалюти, що залишилися у гаманцях, раніше доступних через скомпрометовану версію 2.68, слід вважати під загрозою.

Вразливість хакерського коду стосується всіх користувачів, які мали встановлену версію 2.68, незалежно від того, активно вони використовували розширення чи ні — шкідливий навантаження виконується автоматично при розблокуванні гаманця.

Чому це була загроза рівня APT

Аналізи безпеки класифікують цю атаку як складну операцію Advanced Persistent Threat (APT) з кількох переконливих причин. По-перше, масштаб і координація свідчать про професійних зловмисників, а не випадкових хакерів. По-друге, очевидний доступ зловмисників до систем розробки або розгортання Trust Wallet вказує на цілеспрямовану компрометацію інфраструктури, а не лише публічний додаток гаманця.

Точність роботи хакерського коду — його здатність цілеспрямовано атакувати механізми розблокування гаманця, розшифровувати захищені фрази і витягати дані через легітимно виглядаючі запити аналітики — демонструє високий технічний рівень. Місячний проміжок між реєстрацією домену і виявленням атаки свідчить про ретельне планування і розвідку.

Цей інцидент є яскравим нагадуванням, що навіть добре налагоджені, ресурсоємні проєкти можуть стати жертвами складних атак на ланцюг постачання. Хакерський код був інтегрований не як зовнішня загроза, а як частина легітимного додатку, що ускладнює його виявлення для кінцевих користувачів до моменту, коли дослідники безпеки виявили аномалію.

Ключове нагадування: користувачі мають припустити, що будь-які криптовалюти, збережені у гаманцях, раніше підключених до Trust Wallet версії 2.68, тепер під загрозою, і негайна міграція на безпечні альтернативи є необхідною.