Як мільйони були виведені: Криза розширення браузера Trust Wallet

Спершу про шкоду: що втратили користувачі

У грудні користувачі розширення браузера Trust Wallet виявили щось жахливе — їхні гаманці були повністю очищені. За кілька хвилин після імпорту їхніх сид-фраз кошти зникли в кількох транзакціях. Це було не поступово; це сталося миттєво і автоматично. Мільйони активів були переказані на адреси, контрольовані зловмисниками, перш ніж користувачі встигли відреагувати.

Швидкість і масштаб свідчили про щось набагато гірше за стандартний фішинг: зловмисники вже мали право підпису.

Відстеження: як сталася злам

Цикл подій почався з того, що виглядало як рутинне оновлення 24 грудня. Нова версія розширення браузера Trust Wallet була випущена без очевидних ознак небезпеки. Користувачі оновлювали його звичайно, очікуючи стандартних виправлень безпеки.

Але у цій версії було щось шкідливе.

Прихована зброя: маскувальний код у простому вигляді

Дослідники безпеки виявили новий JavaScript-код (файл 4482.js), вставлений у розширення. Розумна частина? Він був замаскований під аналітику або телеметричне відстеження — тип моніторингового коду, який використовує кожен додаток. Він також не активувався постійно. Замість цього, він залишався неактивним, доки не виникне конкретний тригер.

Для браузерних гаманців це критична територія. Будь-яке несподіване вихідне з’єднання з гаманця означає максимальний ризик, оскільки воно має прямий доступ до приватних ключів і функцій підпису.

Момент тригера: коли вводили сид-фрази у гаманець

Шкідливий код активувався лише тоді, коли користувачі імпортували свою сид-фразу у розширення. Це саме той момент, коли гаманець отримує повний контроль над вашими коштами. Це одноразова дія з високим ризиком — і зловмисники точно вчасно спланували свою атаку.

Користувачі, які ніколи не імпортували сид-фрази (лише використовували існуючі гаманці) уникнули атаки. Ті, хто імпортував? Вони стали ціллю.

Комунікація з злочинцями: фальшивий домен

Коли тригер активувався, вставлений код зв’язався з зовнішнім сервером: metrics-trustwallet[.]com

Домен був навмисно створений так, щоб виглядати легітимним — як справжній піддомен Trust Wallet. Але його зареєстрували всього за кілька днів до цього, він ніколи не був офіційно задокументований і зник з мережі незабаром після розкриття схеми.

Це вихідне з’єднання означало, що зловмисники підтвердили успішне встановлення свого шкідливого коду і могли почати виведення коштів.

Виконання: гаманці порожніють у реальному часі

Як тільки зловмисники отримали сигнал, що сид-фраза імпортована, вони діяли з точністю:

• Автоматизовані послідовності транзакцій починалися негайно
• Активи розподілялися між кількома адресами зловмисників
• Не потрібні були підтвердження або підписи користувача
• Консолідація відбувалася через кілька гаманців, щоб ускладнити слід

Жертви не мали можливості втрутитися. Коли вони помітили, що їхні гаманці порожні, зловмисники вже переказали кошти через свою інфраструктуру.

Чому ця атака була такою небезпечною

Ця інцидент не був звичайним крадіжкою гаманця. Він виявив кілька критичних вразливостей:

Розширення браузера — високий ризик: Вони мають глибший доступ до системи, ніж веб-додатки, і можуть перехоплювати чутливі функції.

Атаки через ланцюг поставок реальні: Один зламаний оновлення може вплинути на сотні тисяч користувачів одночасно.

Імпорт сид-фрази — критичний момент: Саме тоді гаманець найбільш уразливий — зловмисники це зрозуміли і використали.

Фальшива документація працює: Домен, що імітує легітимну інфраструктуру, може приховати шкідливу інфраструктуру у простому вигляді.

Що було підтверджено

• Конкретна версія розширення Trust Wallet містила вставлений код
• Користувачі втратили значні кошти незабаром після імпорту сид-фраз
• Шкідливий домен зник з мережі після розкриття
• Trust Wallet офіційно визнав інцидент безпеки
• Атака була обмежена розширенням браузера; мобільні користувачі залишилися неушкодженими

Що залишається незрозумілим

• Чи був це злом ланцюга поставок або навмисне саботаж
• Точна кількість постраждалих користувачів
• Загальна сума вкрадених коштів у світі
• Чи були зібрані сид-фрази для майбутніх атак
• Хто організував цю атаку

Урок: довіряйте нічому сліпо

Цей інцидент показав реальність крипто-безпеки у 2024 році: навіть усталені додатки можуть бути зламані. Розширення браузера особливо небезпечні, оскільки вони працюють у чутливому просторі між вашим комп’ютером і вашими активами.

Користувачам слід ставитися до імпорту сид-фраз як до найважливішого моменту безпеки. Будь-яке оновлення потрібно робити з обережністю. І завжди тримайте кілька рівнів захисту, а не довіряйте одному інструменту.

Інцидент Trust Wallet доводить, що навіть мільйони користувачів і добре відомий бренд не гарантують безпеку. Пильність — єдина справжня міра безпеки.