Обнаружен скрытый скрипт, похищающий приватные ключи: Trust Wallet выпустил экстренное предупреждение для пользователей Chrome

Trust Wallet призвал пользователей отключить расширение для браузера Chrome версии 2.68 после того, как компания признала инцидент с безопасностью и выпустила версию 2.69 25 декабря, вслед за сообщениями о выводе средств из кошельков, связанными с обновлением от 24 декабря.

По словам пострадавших и исследователей, кражи начали фиксироваться вскоре после выхода версии 2.68. Первые публичные оценки указывали на потери в диапазоне от 6 до более 7 миллионов долларов по нескольким сетям.

В списке Chrome Web Store расширение Trust Wallet версии 2.69 отображается как “Обновлено: 25 декабря 2025 года”, что совпадает с днем, когда информация об инциденте получила широкое распространение.

В том же списке указано около 1 000 000 пользователей. Это определяет максимальный потенциальный охват.

Реальный масштаб воздействия зависит от того, сколько людей установили 2.68 и вводили чувствительные данные, пока она была активна.

Рекомендации Trust Wallet были сосредоточены на выпуске расширения для браузера. Компания заявила, что пользователи мобильных устройств и других версий расширения не пострадали.

Сообщения на данный момент фокусируются на определённом действии пользователя в период работы 2.68.

Исследователи отмечают повышенные риски, связанные с обновлением расширения Trust Wallet для браузера

Исследователи и отслеживающие инциденты связали наивысший риск с пользователями, которые импортировали или вводили seed-фразу после установки затронутой версии. Seed-фраза может открыть доступ к текущим и будущим адресам, производным от неё.

Компания также сообщила, что исследователи, изучавшие пакет 2.68, отметили подозрительную логику в файле JavaScript, включая упоминания файла с названием “4482.js”.

Они заявили, что эта логика могла передавать секреты кошелька на внешний хост. Исследователи также предупредили, что технические индикаторы всё ещё собираются по мере публикации результатов расследования.

В том же отчёте предупреждается о вторичных мошеннических схемах, включая поддельные домены “fix”. Эти ловушки пытаются убедить пользователей передать свои seed-фразы под видом устранения проблемы.

Для пользователей важно различать обновление и восстановление.

Обновление до версии 2.69 может устранить подозрительное вредоносное или небезопасное поведение расширения в дальнейшем. Однако оно не защищает средства автоматически, если seed-фраза или приватный ключ уже были скомпрометированы.

В этом случае стандартные шаги реагирования на инцидент включают перевод средств на новые адреса, созданные с использованием новой seed-фразы. Пользователям также следует проверить и отозвать разрешения на токены, где это возможно.

Любую систему, где использовалась скомпрометированная фраза, следует считать подозрительной до её переустановки или подтверждения чистоты.

Эти действия могут быть операционно затратными для розничных пользователей. Необходимо восстанавливать позиции в разных сетях и приложениях.

В некоторых случаях приходится выбирать между скоростью и точностью при наличии затрат на газ и рисков мостов в процессе восстановления.

Этот случай также привлекает внимание к модели доверия для расширений браузеров.

Расширения находятся на чувствительном стыке между веб-приложениями и процессами подписания

Любой компромисс может быть нацелен на те же вводимые данные, которые пользователи используют для подтверждения транзакций.

Академические исследования по обнаружению расширений в Chrome Web Store описывают, как вредоносные или скомпрометированные расширения могут обходить автоматическую проверку. Также описано, как эффективность обнаружения снижается по мере изменения тактик атакующих со временем.

Согласно статье на arXiv о контролируемом машинном обучении для обнаружения вредоносных расширений, “дрейф концепции” и изменение поведения могут снижать эффективность статических методов. Это становится особенно актуально, когда подозревается, что обновление расширения кошелька собирает секреты через запутанную клиентскую логику.

Следующие раскрытия информации от Trust Wallet определят границы того, как будет развиваться ситуация.

Проведение пост-мортем от поставщика, которое документирует коренную причину, публикует подтверждённые индикаторы (домены, хэши, идентификаторы пакетов) и уточняет масштаб, поможет провайдерам кошельков, биржам и командам по безопасности разработать целевые проверки и инструкции для пользователей.

В противном случае итоговые данные по инциденту могут оставаться нестабильными. Сообщения от потерпевших могут поступать с задержкой, кластеризация по цепочкам может быть уточнена, а расследующие могут продолжать выяснять, используют ли разные дренеры одну инфраструктуру или являются оппортунистическими копиями.

Рынки токенов отреагировали на новости движением, но не односторонним изменением цен.

Последние котировки Trust Wallet Token (TWT) показывают финальную цену $0.83487, что на $0.01 (0.02%) выше закрытия предыдущего дня. Зафиксирован внутридневной максимум $0.8483 и минимум $0.767355.

Учёт потерь остаётся неустойчивым. На данный момент наиболее достоверной публичной оценкой является диапазон от 6 до более 7 миллионов долларов, зафиксированный в первые 48–72 часа после выхода 2.68.

Этот диапазон может меняться по обычным причинам в ходе расследования краж

Сюда входят задержки с сообщениями от жертв, переклассификация адресов и улучшение видимости кроссчейновых свапов и маршрутов вывода средств.

Практический прогноз на ближайшие две-восемь недель можно представить в виде сценариев, связанных с измеримыми переменными. К ним относятся: был ли путь компрометации ограничен только вводом seed-фразы на 2.68, подтверждены ли дополнительные способы захвата и как быстро устраняются копирующие “fix”-домен ловушки.

Этот инцидент произошёл на фоне более пристального внимания к тому, как потребительское крипто-программное обеспечение обрабатывает секреты на устройствах общего назначения.

Отчёты о кражах в 2025 году были достаточно крупными, чтобы привлечь внимание регуляторов и платформ.

Инциденты, связанные с распространением софта, также усиливают призывы к контролю целостности сборок, включая воспроизводимые сборки, раздельную подпись ключей и более чёткие возможности отката в случае необходимости срочного исправления.

Для расширений кошельков ближайший практический вывод проще. Пользователям нужно определить, вводили ли они seed-фразу, пока была установлена версия 2.68, потому что именно это действие определяет, достаточно ли обновления или необходимо сменить секреты и перевести средства.

Рекомендация Trust Wallet остаётся прежней — отключить расширение 2.68 и обновить до 2.69 через Chrome Web Store.

Пользователи, которые импортировали или вводили seed-фразу во время работы 2.68, должны считать эту фразу скомпрометированной и перевести активы на новый кошелёк.

Trust Wallet подтвердил, что в инциденте с расширением Chrome v2.68 было затронуто примерно $7 миллионов и что все пострадавшие пользователи получат компенсацию.

В заявлении, опубликованном на X, компания сообщила, что завершает процесс возврата средств и вскоре предоставит инструкции по дальнейшим действиям. Trust Wallet также призвал пользователей не взаимодействовать с сообщениями, не поступающими с официальных каналов, предупредив, что мошенники могут пытаться выдавать себя за команду во время процесса устранения последствий.

Публикация Hidden script caught harvesting private keys as Trust Wallet issues emergency warning for Chrome users впервые появилась на CryptoSlate.