Что случилось с Trust Wallet — кратко по факту

За последние сутки произошло серьёзное событие в крипто-безопасности:

Пользователи Trust Wallet потеряли криптовалюту на сумму более $6–7 млн USD в результате инцидента, связанного с браузерным расширением Trust Wallet (Chrome). Деньги выводились с кошельков без подписи транзакций пользователями.

Причина: уязвимость/компрометация версии браузерного расширения v2.68, которая, судя по всему, позволяла злоумышленникам получить доступ к seed-фразам и приватным ключам, как только пользователь импортировал кошелёк в эту версию.

Важная деталь:

— Инцидент затронул только браузерное расширение — не мобильное приложение и не все версии.
— Компания выпустила исправленную версию 2.69 и рекомендовала срочно обновиться или удалить расширение.
— Binance/Trust Wallet официально заявили, что покроют потери пострадавших через фонд SAFU (~$7m).
---

Почему это произошло

1) Компрометация браузерного расширения
Расследования на уровне исследователей кода предположили, что в обновлённую версию расширения был внедрён недокументированный код (файл 4482.js), который мог отправлять чувствительную информацию на сторонний домен.

2) Пользователи импортировали seed-фразы
Средства чаще всего были потеряны у тех, кто импортировал свои seed-фразы в браузерное расширение — то есть, ключи были раскрыты в среде, которая оказалась скомпрометирована.

3) Возможный supply-chain / инсайдерский вектор
Часть экспертов связывает случившееся не с прямым взломом криптографии, а с компрометацией обновления расширения или утечкой доступа в процессе разработки или публикации обновления — это называется supply-chain attack.

4) Проблема не в сети или протоколе
Взлом не использовал уязвимости в протоколе блокчейна — средства просто пересылались обычными транзакциями с приватных ключей, которые стали известны злоумышленникам.

---

Что это значит по сути

Это не взлом блокчейна, а взлом среды хранения/доступа — то есть доступ к ключам.
Self-custody (самостоятельное хранение) — мощный инструмент, но рискует техническим окружением, а не криптографией.
Даже известный кошелёк с миллионами пользователей — если есть эксплойт в его коде или обновлении — может «сливать» ключи напрямую.

---

Ключевые уроки и выводы

1) Никогда не импортируй seed-фразу в браузерное расширение

Расширения — это относительно уязвимая среда:

— имеют доступ к вашему браузеру,
— могут быть скомпрометированы через обновления или сторонние библиотеки.
Лучше использовать только проверенные устройства/хранилища.

2) Предпочитай мобильные/аппаратные кошельки

Trust Wallet мобильный НЕ затронут этим инцидентом — пользуйтесь им или аппаратными устройствами (Ledger, Trezor и др.) для хранения крупной суммы.

3) Проверяй релизы и источники ПО

Всегда ставь расширения только через официальные источники (Chrome Store, GitHub) и проверяй цифровые подписи/отзывы при обновлениях.

4) Регулярно отзывай правa/разрешения

В браузере/дApps регулярно проверяй, какие сайты/разрешения активны, и отзывай всё, чем давно не пользуешься.

5) Будь осторожен при переносе средств

Если импортируешь seed-фразу где-либо — это всегда риск. Создавай отдельные кошельки для каждой задачи, а не используйте один seed для всего.

---

Почему это критично для отрасли

Этот инцидент напоминает главное правило крипты:
ключи = контроль над средствами.
Если приватный ключ доступен где-то в среде, которую могут прочитать/компрометировать — без крипто-атаки он всё равно украден. Это не баг блокчейна — это баг доверия к инструменту доступа.

---

Выводы

1. Проблема была в браузерном расширении Trust Wallet v2.68 — оно было скомпрометировано, что привело к утечке seed-фраз/ключей.
2. Потери оцениваются в ~$6–7M, затронуты сотни пользователей.
3. Trust Wallet выпустил обновление, рекомендует отключить старое расширение и обещает компенсации через SAFU.

---

Рекомендации

Если у тебя было расширение Trust Wallet — удали его и не вводи seed-фразу туда.
Проверь на анонимных трекерах переводов, не было ли несанкционированных списаний.
Если импортировал seed куда-то ещё — создай новый кошелёк и переведи туда средства с новым seed/changing address.
Никому не отправляй seed и не вводи его туда, где ты не уверен на 100%.