Команда Trust Wallet опубликовала отчет об инциденте, произошедшем в 26 декабря. Злоумышленники скомпрометировали браузерное расширение и вывели активы на сумму $8,5 млн.
Согласно заявлению, атака затронула 2520 адресов. Разработчики обязались полностью компенсировать потери пострадавшим.
Как это произошло
Причиной взлома стала масштабная атака на цепочку поставок Sha1-Hulud, зафиксированная еще в ноябре. Тогда хакеры получили доступ к секретам разработчиков на GitHub и API-ключу магазина Chrome Web Store.
Используя украденные данные, злоумышленники:
Загрузили вредоносную версию расширения (2.68) в Chrome Web Store, минуя внутренний контроль Trust Wallet.
Зарегистрировали домен metrics-trustwallet.com для сбора конфиденциальных данных (сид-фраз и закрытых ключей).
Автоматически распространили обновление среди пользователей после прохождения проверки Google.
Вредоносная версия была активна в период с 24 по 26 декабря. После обнаружения проблемы команда откатила расширение до безопасной версии 2.69 и отозвала скомпрометированные ключи.
Кто попал под удар
Уязвимость коснулась исключительно пользователей браузерного расширения версии 2.68, которые заходили в кошелек в указанные даты. Мобильное приложение Trust Wallet и другие версии расширения остались в безопасности.
Аналитики выявили 17 адресов, контролируемых хакером. Суммарный ущерб составил $8,5 млн.
«Мы рассматриваем этот инцидент не только как критический урок для нас, но и как переломный момент для всей индустрии в вопросах атак на цепочки поставок», — отметили в Trust Wallet.
Процесс возмещения средств
Компания уже начала работу с жертвами взлома. Для получения компенсации пользователям необходимо подать заявку через официальную форму поддержки и пройти верификацию владения кошельком.
В Trust Wallet подчеркнули сложность процесса из-за наплыва мошенников. На 2520 пострадавших адресов уже поступило более 5000 заявок. Команда призвала пользователей проявлять терпение и опасаться фишинга: официальная поддержка никогда не запрашивает сид-фразы.
Для предотвращения подобных ситуаций в будущем проект усилил меры безопасности, включая аудит зависимостей кода и ротацию учетных данных.
Напомним, в 2025 году объем похищенных через фишинговые атаки средств сократился на 83%, составив $83,85 млн, согласно SlowMist.
