Взлом кошелька разработчика Ethereum: как вредоносное AI-расширение похитило приватные ключи

«Безопасность — это не разовый выбор, а постоянная бдительность. Даже эксперты могут ошибиться, если расслабятся на секунду.»
— Hakan Unal, руководитель по безопасности в Cyvers

В августе 2025 года произошёл инцидент, который стал тревожным сигналом для всей экосистемы Web3: один из ключевых разработчиков Ethereum, Зак Коул (Zak Cole), стал жертвой хакерской атаки, осуществлённой через вредоносное расширение для AI-ассистента. Всего за несколько дней злоумышленники получили доступ к его горячему кошельку и похитили криптоактивы, несмотря на то, что сам Коул более 10 лет не терял ни одного вея (wei) в результате взлома.

Инцидент произошёл из-за расширения под названием “contractshark.solidity-lang”, которое имитировало легитимный инструмент для разработчиков смарт-контрактов на языке Solidity. Оно было опубликовано в магазине Cursor AI — популярной платформе, используемой тысячами разработчиков Ethereum. Расширение выглядело профессионально: имело более 54 000 загрузок, официальную иконку, подробное описание и положительные отзывы. Однако за фасадом скрывался вредоносный код, который считывал файлы окружения (.env) и передавал приватные ключи на сервер злоумышленников.

Через три дня после установки злоумышленники получили полный доступ к кошельку и похитили активы. Коул сообщил, что убытки были ограничены «несколькими сотнями долларов» в ETH, поскольку он использует маленькие, изолированные горячие кошельки только для тестирования, а основные средства хранит на аппаратных кошельках. Тем не менее, этот случай стал символическим: если даже опытный разработчик уровня Ethereum Core может стать жертвой, то никто не застрахован.

⚠️ Как работает атака: от доверия к катастрофе

Атака, которую использовали против Зака Коула, относится к категории wallet drainers — вредоносных программ, созданных специально для кражи криптоактивов. Их механизм прост, но эффективен:

1. Подмена легитимного инструмента — злоумышленники создают расширение с названием, похожим на популярное (например, через typosquatting), или полностью копируют реальный продукт.
2. Публикация в доверенных магазинах — расширение размещается в официальных магазинах (VS Code, Cursor, Chrome Web Store), что создаёт ложное ощущение безопасности.
3. Сбор данных — после установки вредоносный код начинает сканировать систему, ищет файлы с приватными ключами (например, .env, keystore, wallet.json) и отправляет их на удалённый сервер.
4. Доступ к кошельку — хакеры получают полный контроль и могут в любой момент перевести средства.
5. Кража активов — средства мгновенно перемещаются через сложные цепочки транзакций, часто с использованием миксеров или децентрализованных обменов.

В данном случае расширение contractshark.solidity-lang имело доступ к файлу .env, где часто хранятся секретные ключи для тестовых сред. Это типичная практика среди разработчиков, но она крайне опасна, если не соблюдаются меры безопасности.

🔍 Расширения как главный вектор атак: угроза для всей индустрии

Согласно данным Cyvers, Check Point Research и AMLBot, расширения для редакторов кода (VS Code, Cursor, JetBrains) и браузеров стали одним из самых опасных векторов атак в 2024–2025 годах.

Ключевые причины:

• Высокий уровень доверия — разработчики считают, что магазины расширений проверяют контент.
• Широкие разрешения — многие расширения требуют доступ к файловой системе, что позволяет читать любые файлы.
• Автоматическая синхронизация — расширения могут обновляться без ведома пользователя, внедряя вредоносный код в любой момент.
• Масштабируемость — одно вредоносное расширение может затронуть десятки тысяч пользователей.

В сентябре 2024 года аналогичная атака была проведена через поддельное приложение WalletConnect в Google Play. Оно пробыло в магазине более 5 месяцев, было скачано тысячами пользователей и похитило более $70 000 в криптовалюте. При этом в отзывах фигурировали фразы вроде «отличное приложение для банковских переводов» — явный признак фейковых отзывов.

🤖 AI-ассистенты: новая эра угроз

Платформы вроде Cursor AI, GitHub Copilot и Tabnine становятся неотъемлемой частью разработки. Они предлагают автодополнение кода, генерацию смарт-контрактов и интеграцию с блокчейн-сетями. Однако их популярность делает их идеальной мишенью для злоумышленников.

Риски:

• Поддельные плагины — как в случае с contractshark.
• Утечка кода — AI-инструменты могут отправлять приватный код на серверы, где он может быть скомпрометирован.
• Генерация уязвимого кода — AI может предлагать решения с багами, которые потом используются для взлома.

В 2025 году уже зафиксированы случаи, когда AI-ассистенты предлагали разработчикам использовать уязвимые шаблоны смарт-контрактов, содержащие бэкдоры.

💸 Drainer-ы как услуга: киберпреступность по подписке

Одна из самых тревожных тенденций — превращение wallet drainers в SaaS (Software-as-a-Service). Согласно отчёту AMLBot от апреля 2025 года, злоумышленники продают или сдают в аренду drainer-ы за от $100 в USDT в месяц.

Что входит в «пакет»:

• Готовые вредоносные расширения для VS Code и браузеров.
• Скрипты для автоматической кражи ключей.
• Инфраструктура для приёма и отмывания средств (кошельки, миксеры).
• Поддержка и обновления.

Это позволяет даже новичкам в киберпреступности организовывать масштабные атаки. Анонимность, низкий порог входа и высокая прибыль делают это направление чрезвычайно привлекательным.

🛡️ Как защититься: советы для разработчиков и пользователей

Угроза real, но её можно минимизировать. Вот ключевые меры безопасности:

🔐 Хранение ключей

• Никогда не храните приватные ключи в .env или других текстовых файлах.
• Используйте менеджеры секретов (Hashicorp Vault, AWS Secrets Manager).
• Для тестов — временные кошельки с минимальным балансом.

💻 Разработка

• Проверяйте источник расширений — официальный ли это репозиторий?
• Изучайте разрешения — почему редактор Solidity требует доступ к файлам?
• Используйте изолированные среды (Docker, виртуальные машины) для разработки.
• Регулярно проверяйте GitHub-репозитории на наличие утечек ключей (с помощью GitGuardian, TruffleHog).

💰 Хранение активов

• Основные средства — только на аппаратных кошельках (Ledger, Trezor).
• Не подключайте кошелёк к непроверенным сайтам или dApps.
• Используйте многоуровневую аутентификацию и мониторинг транзакций.

🌐 Реакция сообщества: что делают платформы?

После инцидента с Заком Коулом Cursor AI удалил вредоносное расширение и начал расследование. Однако критики отмечают, что платформы слишком медленно реагируют на угрозы.

Что можно улучшить:

• Автоматический сканирование кода на наличие вредоносных функций.
• Верификация разработчиков — как в App Store.
• Ограничение разрешений — запрет на чтение файлов вне рабочей директории.
• Система отчётов с быстрым реагированием.

Также растёт интерес к децентрализованным IDE, где расширения проходят аудит сообщества, а не централизованный магазин.

📉 Последствия для доверия в экосистеме

Такие инциденты подрывают доверие к инструментам, которые используют тысячи разработчиков. Если даже core-разработчики Ethereum могут стать жертвами, то как могут чувствовать себя новички?

Последствия:

• Снижение активности в open-source проектах.
• Рост числа краж через социальную инженерию.
• Ужесточение требований со стороны аудиторов и инвесторов.
• Повышение интереса к аудируемым и верифицированным инструментам.

Однако, как отмечает Hakan Unal из Cyvers, такие случаи — не приговор, а призыв к повышению культуры безопасности.

🔮 Будущее безопасности: от реакции к проактивности

В 2025 году кибербезопасность в Web3 переходит от реактивного к проактивному подходу. Появляются новые решения:

• AI для обнаружения угроз — анализ кода на наличие бэкдоров.
• Onchain-мониторинг — системы, отслеживающие подозрительные транзакции в реальном времени.
• Смарт-кошельки с защитой — например, с функцией отмены транзакций (как Safe{Wallet}).
• Обучение разработчиков — курсы по кибергигиене и безопасной разработке.

Как однажды сказал Андреас Антонопулос: «Безопасность — это не продукт, это процесс.» И этот процесс должен стать частью повседневной практики каждого, кто работает с криптовалютой.

✅ Выводы: безопасность — это не опция, а обязанность

Инцидент с Заком Коулом — не просто личная ошибка, а симптом системной проблемы. Вредоносные расширения, AI-угрозы и drainer-ы как услуга — это реальность 2025 года.

Чтобы оставаться в безопасности:

• Никогда не расслабляйтесь, даже если вы эксперт.
• Проверяйте каждый инструмент, который устанавливаете.
• Храните ключи только в защищённых местах.
• Используйте изолированные среды для разработки.
• Поддерживайте культуру безопасности в своём комьюнити.

Криптоиндустрия строится на доверии к коду. Если мы позволим этому доверию быть подорванным, всё, что мы построили, окажется под угрозой. Защита начинается с одной строки кода — и с одного правильного решения.