- 11.11.16
- 92
В браузерном расширении Trust Wallet нашли опасную уязвимость, из-за которой у пользователей могли украсть криптовалюту. Проблема затронула версию 2.68, и команда кошелька официально попросила всех, кто её установил, немедленно отключить расширение и обновиться до 2.69.
О первых жалобах сообщил исследователь ZachXBT. Он опубликовал сообщение о том, что «несколько пользователей Trust Wallet сообщили о краже средств с их кошельков за последние несколько часов». Почти сразу после этого Trust Wallet подтвердил риск именно в версии 2.68 для браузера и выпустил рекомендацию перейти на исправленную сборку.
Разбор инцидента опубликовала компания SlowMist, которая специализируется на безопасности блокчейн-проектов. Исследователи сравнили код версий 2.67 и 2.68 и нашли вставку, похожую на бэкдор. По их описанию, вредоносный фрагмент перебирал кошельки, сохранённые в расширении, и запрашивал для каждого сид-фразу. Далее использовался пароль, который пользователь вводит при разблокировке, либо альтернативный вариант разблокировки через passkeyPassword, чтобы расшифровать данные и подготовить их к отправке злоумышленникам.
Ключевой деталью стала доменная инфраструктура атакующих. SlowMist пишет, что сид-фразы и другие чувствительные данные уходили на api.metrics-trustwallet[.]com, связанный с доменом metrics-trustwallet.com. По данным исследователей, домен зарегистрировали 8 декабря 2025 года, а первые запросы к нему начали фиксироваться с 21 декабря. Эти даты совпадают с предполагаемым периодом внедрения вредоносного кода в расширение.
О первых жалобах сообщил исследователь ZachXBT. Он опубликовал сообщение о том, что «несколько пользователей Trust Wallet сообщили о краже средств с их кошельков за последние несколько часов». Почти сразу после этого Trust Wallet подтвердил риск именно в версии 2.68 для браузера и выпустил рекомендацию перейти на исправленную сборку.
Разбор инцидента опубликовала компания SlowMist, которая специализируется на безопасности блокчейн-проектов. Исследователи сравнили код версий 2.67 и 2.68 и нашли вставку, похожую на бэкдор. По их описанию, вредоносный фрагмент перебирал кошельки, сохранённые в расширении, и запрашивал для каждого сид-фразу. Далее использовался пароль, который пользователь вводит при разблокировке, либо альтернативный вариант разблокировки через passkeyPassword, чтобы расшифровать данные и подготовить их к отправке злоумышленникам.
Ключевой деталью стала доменная инфраструктура атакующих. SlowMist пишет, что сид-фразы и другие чувствительные данные уходили на api.metrics-trustwallet[.]com, связанный с доменом metrics-trustwallet.com. По данным исследователей, домен зарегистрировали 8 декабря 2025 года, а первые запросы к нему начали фиксироваться с 21 декабря. Эти даты совпадают с предполагаемым периодом внедрения вредоносного кода в расширение.
