Массовая кража из Trust Wallet: браузерное расширение скомпрометировано, ущерб более $6 млн

«Доверяй, но проверяй — особенно когда речь идёт о ключах к твоим деньгам.»
— Брюс Шнайер, эксперт по кибербезопасности

В последние дни декабря 2025 года криптосообщество столкнулось с новой волной атак: сотни пользователей Trust Wallet сообщили о внезапной краже средств из своих кошельков. По данным анализа соцсетей и блокчейн-экспертов, злоумышленники похитили более $6 млн в криптовалютах, включая ETH, SOL, USDT и даже BTC. Общая черта всех жертв — использование браузерного расширения Trust Wallet для Chrome, которое, как выяснилось, никогда не было официальным продуктом команды.

🔓 Как произошла утечка: supply-chain атака на расширение

24 декабря 2025 года в Google Chrome Web Store появилось обновление для расширения под названием «Trust Wallet». Пользователи, доверяя знакомому бренду, автоматически установили его — не подозревая, что аккаунт разработчика был скомпрометирован. Атака классифицируется как supply-chain exploit: хакеры внедрили вредоносный код прямо в обновление легитимно выглядящего продукта.

После установки расширение начинало красть данные при первом же импорте кошелька:

• При вводе seed-фразы или приватного ключа данные отправлялись на сервер злоумышленников.
• Средства мгновенно выводились — через свопы в мемкоины, переводы в Tornado Cash или прямые транзакции на неизвестные адреса.
• Некоторые пользователи отметили, что кража происходила только при вводе пароля — что указывает на целенаправленный триггер.

Среди пострадавших — как рядовые пользователи (потери $800–$4 000), так и крупные трейдеры (до $80 000+). Один из пользователей, @PEPE_Whale69, потерял $23 000 за несколько секунд после импорта фразы.

🚫 Trust Wallet официально не подтверждает: молчание усиливает панику

На момент публикации команда Trust Wallet не выпустила ни одного официального заявления по поводу инцидента:

• Сайт trustwallet.com содержит только общие советы по безопасности — без упоминания расширения.
• Форум community.trustwallet.com возвращает ошибку 410 (страница удалена).
• В X-аккаунте @TrustWallet — посты о гивавеях, FlexGas и новых фичах, но ни слова о хаке.

Это молчание вызывает шквал критики: «Почему молчат, пока люди теряют миллионы?» — пишет пользователь @cryptopunks333. Между тем, в официальных каналах Trust Wallet давно подчёркивается: браузерное расширение никогда не выпускалось. Единственные легитимные продукты — мобильное приложение (iOS/Android) и интеграция через WalletConnect.

🔍 Как отличить официальное от фейкового: правила 2025 года

Для защиты от подобных атак эксперты рекомендуют:

• Никогда не устанавливайте расширения вне официальных источников. Проверяйте URL и имя разработчика в Web Store — «Trust Wallet» не принадлежит Binance или Trust Wallet Ltd.
• Используйте только мобильное приложение для управления активами.
• Если уже установили — немедленно удалите расширение и отзовите все approve-разрешения через Revoke.cash.
• Проверьте все кошельки на компрометацию через Blockaid или Etherscan.

Если вы вводили seed-фразу в браузерное расширение — считайте кошелёк скомпрометированным и переведите остаток средств на новый адрес, созданный в аппаратном устройстве.

🛡️ Почему браузерные кошельки опасны: технические риски

Браузерные расширения, даже официальные (MetaMask, Phantom), уязвимы по своей природе:

• Они работают в среде с доступом к интернету, cookies, другим расширениям.
• Могут быть подменены через вредоносные аддоны или фишинговые обновления.
• Не имеют изоляции памяти — в отличие от аппаратных кошельков.

Как отмечает исследователь из SlowMist: «Браузер — это зона риска. Хранить seed-фразу там — всё равно что оставить ключ от сейфа на кухонном столе.»

🌐 Контекст: рост атак на Web3-инфраструктуру в декабре 2025

Инцидент с Trust Wallet — часть тревожного тренда:

• Upbit потерял $37 млн из-за атаки на Solana-активы.
• Yearn Finance пострадал от эксплойта yETH на $11 млн.
• USPD был взломан через скрытый прокси-контракт.
• Crypto Copilot крал SOL через поддельное расширение для X.

Общий ущерб за декабрь превысил $100 млн. Основной вектор — не уязвимости в коде, а человеческий фактор и доверие к бренду.

✅ Заключение: безопасность начинается с проверки источника

Случай Trust Wallet — жёсткое напоминание: даже узнаваемый логотип не гарантирует безопасность. В эпоху, когда хакеры используют AI для генерации реалистичных фейков, единственная защита — скептицизм и проверка каждого шага.

Как сказал Брюс Шнайер: «Технологии не создают безопасность. Её создают люди, которые не доверяют автоматически.» И в этом — ваша главная сила.