Блог им. AlfredHamzin_c5f

Что случилось с Trust Wallet — кратко по факту


За последние сутки произошло серьёзное событие в крипто-безопасности:

Пользователи Trust Wallet потеряли криптовалюту на сумму более $6–7 млн USD в результате инцидента, связанного с браузерным расширением Trust Wallet (Chrome). Деньги выводились с кошельков без подписи транзакций пользователями.

Причина: уязвимость/компрометация версии браузерного расширения v2.68, которая, судя по всему, позволяла злоумышленникам получить доступ к seed-фразам и приватным ключам, как только пользователь импортировал кошелёк в эту версию.

Важная деталь:

— Инцидент затронул только браузерное расширение — не мобильное приложение и не все версии.
— Компания выпустила исправленную версию 2.69 и рекомендовала срочно обновиться или удалить расширение.
— Binance/Trust Wallet официально заявили, что покроют потери пострадавших через фонд SAFU (~$7m).
---

Почему это произошло

1) Компрометация браузерного расширения
Расследования на уровне исследователей кода предположили, что в обновлённую версию расширения был внедрён недокументированный код (файл 4482.js), который мог отправлять чувствительную информацию на сторонний домен.

2) Пользователи импортировали seed-фразы
Средства чаще всего были потеряны у тех, кто импортировал свои seed-фразы в браузерное расширение — то есть, ключи были раскрыты в среде, которая оказалась скомпрометирована.

3) Возможный supply-chain / инсайдерский вектор
Часть экспертов связывает случившееся не с прямым взломом криптографии, а с компрометацией обновления расширения или утечкой доступа в процессе разработки или публикации обновления — это называется supply-chain attack.

4) Проблема не в сети или протоколе
Взлом не использовал уязвимости в протоколе блокчейна — средства просто пересылались обычными транзакциями с приватных ключей, которые стали известны злоумышленникам.

---

Что это значит по сути


Это не взлом блокчейна, а взлом среды хранения/доступа — то есть доступ к ключам.
Self-custody (самостоятельное хранение) — мощный инструмент, но рискует техническим окружением, а не криптографией.
Даже известный кошелёк с миллионами пользователей — если есть эксплойт в его коде или обновлении — может «сливать» ключи напрямую.

---

Ключевые уроки и выводы

1) Никогда не импортируй seed-фразу в браузерное расширение

Расширения — это относительно уязвимая среда:

— имеют доступ к вашему браузеру,
— могут быть скомпрометированы через обновления или сторонние библиотеки.
Лучше использовать только проверенные устройства/хранилища.

2) Предпочитай мобильные/аппаратные кошельки

Trust Wallet мобильный НЕ затронут этим инцидентом — пользуйтесь им или аппаратными устройствами (Ledger, Trezor и др.) для хранения крупной суммы.

3) Проверяй релизы и источники ПО

Всегда ставь расширения только через официальные источники (Chrome Store, GitHub) и проверяй цифровые подписи/отзывы при обновлениях.

4) Регулярно отзывай правa/разрешения

В браузере/дApps регулярно проверяй, какие сайты/разрешения активны, и отзывай всё, чем давно не пользуешься.

5) Будь осторожен при переносе средств

Если импортируешь seed-фразу где-либо — это всегда риск. Создавай отдельные кошельки для каждой задачи, а не используйте один seed для всего.

---

Почему это критично для отрасли

Этот инцидент напоминает главное правило крипты:
ключи = контроль над средствами.
Если приватный ключ доступен где-то в среде, которую могут прочитать/компрометировать — без крипто-атаки он всё равно украден. Это не баг блокчейна — это баг доверия к инструменту доступа.

---

Выводы

1. Проблема была в браузерном расширении Trust Wallet v2.68 — оно было скомпрометировано, что привело к утечке seed-фраз/ключей.
2. Потери оцениваются в ~$6–7M, затронуты сотни пользователей.
3. Trust Wallet выпустил обновление, рекомендует отключить старое расширение и обещает компенсации через SAFU.

---

Рекомендации

Если у тебя было расширение Trust Wallet — удали его и не вводи seed-фразу туда.
Проверь на анонимных трекерах переводов, не было ли несанкционированных списаний.
Если импортировал seed куда-то ещё — создай новый кошелёк и переведи туда средства с новым seed/changing address.
Никому не отправляй seed и не вводи его туда, где ты не уверен на 100%.

Данная публикация является личным мнением автора. Мнение владельца сайта может не совпадать с мнением автора.
939

Читайте на SMART-LAB:
Фото
🏦 Первый и единственный «золотой банк» России создадут на базе МГКЛ
Совет директоров ПАО «МГКЛ» утвердил обновленную стратегию развития Группы на 2026–2030 годы. Одним из ключевых решений станет приобретение...
Фото
Народный портфель. Норникель вместо Роснефти
Московская биржа опубликовала данные о «Народном портфеле» за июнь 2026 г. Рассмотрим, какие бумаги были популярны у российских частных...
Фото
Скрипт размещения ПКО "Вернём" (B|ru|, 150 млн., YTM 28,71%)
❗️Информация для квалифицированных инвесторов 💼  Завтра,   9 июля,   состоится  размещение   облигаций ПКО «Вернём» 💼  B|ru|...
Фото
Сетевые компании. Изменение целевых цен и смена рейтинга!
Я последнее время наблюдаю такую тенденцию — у компании дивидендный гэп, но акции продолжают отвесно падать, это и произошло с сетевыми...

теги блога Альфред Хамзин

....все тэги



UPDONW
Новый дизайн