Виявлено прихований скрипт, який викрадав приватні ключі, Trust Wallet терміново попереджає користувачів Chrome

Trust Wallet повідомила користувачам вимкнути розширення для браузера Chrome версії 2.68 після того, як компанія визнала інцидент із безпекою та випустила версію 2.69 25 грудня, у відповідь на повідомлення про зливи з гаманців, пов’язані з оновленням від 24 грудня.

За словами потерпілих і дослідників, крадіжки почали фіксувати майже одразу після виходу 2.68. Перші публічні підрахунки визначили втрати у діапазоні від 6 до понад 7 мільйонів доларів на кількох ланцюгах.

У списку Chrome Web Store розширення Trust Wallet версії 2.69 відмічено як “Оновлено: 25 грудня 2025”, що збігається з часом випуску патчу від постачальника у день, коли інцидент набув широкого розголосу.

У цьому ж списку вказано близько 1 000 000 користувачів. Це визначає максимальний потенційний масштаб інциденту.

Практичний рівень впливу залежить від того, скільки людей встановили 2.68 і ввели конфіденційні дані під час її активності.

Рекомендації Trust Wallet були зосереджені на релізі розширення для браузера. У повідомленні йшлося, що мобільні користувачі та інші версії розширення не постраждали.

Дотепер повідомлення стосувалися конкретної дії користувача у період роботи 2.68.

Дослідники попереджають про підвищені ризики, пов’язані з оновленням розширення Trust Wallet для браузера

Дослідники та фахівці з реагування на інциденти визначили найвищий ризик для користувачів, які імпортували або вводили seed-фразу після встановлення ураженої версії. Seed-фраза може відкрити доступ до поточних і майбутніх адрес, що з неї генеруються.

У повідомленні також зазначається, що дослідники, які аналізували збірку 2.68, звернули увагу на підозрілу логіку у JavaScript-файлі, зокрема згадки про файл під назвою “4482.js”.

Вони повідомили, що ця логіка могла передавати секрети гаманця на зовнішній сервер. Дослідники також попередили, що технічні індикатори ще складаються, тоді як слідчі публікують свої висновки.

У цьому ж матеріалі попереджають про вторинні шахрайства, зокрема фішингові домени-“копії” під виглядом “виправлення”. Такі пастки намагаються обдурити користувачів і змусити їх надати відновлювальні фрази під приводом ліквідації проблеми.

Для користувачів важливо розрізняти оновлення й усунення наслідків.

Оновлення до 2.69 може видалити підозрілу або небезпечну поведінку розширення надалі. Це не захищає активи автоматично, якщо seed-фраза або приватний ключ вже були розкриті.

У такому разі стандартні дії реагування на інцидент включають переведення коштів на нові адреси, створені з нової seed-фрази. Користувачам також слід перевірити та відкликати дозволи на токени, якщо це можливо.

Будь-яку систему, яка працювала з цією фразою, слід вважати підозрілою, доки її не буде перевірено або відновлено.

Такі дії можуть бути операційно затратними для роздрібних користувачів. Вони вимагають відновлення позицій у різних ланцюгах та додатках.

У деяких випадках це також змушує обирати між швидкістю та точністю, коли на етапі відновлення враховуються витрати на газ та ризики бриджингу.

Цей випадок також акцентує увагу на моделі довіри до розширень для браузера.

Розширення знаходяться у чутливій точці між вебдодатками та підписом транзакцій

Будь-який компроміс може бути спрямований на ті ж дані, за допомогою яких користувачі перевіряють транзакцію.

Академічні дослідження щодо виявлення розширень у Chrome Web Store описують, як шкідливі або скомпрометовані розширення можуть обходити автоматичну перевірку. Також описується, як ефективність виявлення знижується зі зміною тактик зловмисників з часом.

За даними препринту на arXiv про супервізоване машинне навчання для виявлення шкідливих розширень, “зсув концепції” та еволюція поведінки можуть звести нанівець ефективність статичних підходів. Це стає особливо актуально, якщо підозрюється, що оновлення розширення гаманця збирає секрети через заплутану клієнтську логіку.

Наступні розкриття Trust Wallet визначать межі, у яких розвиватиметься ця історія.

Пост-мортем від розробника з описом корінної причини, оприлюдненням перевірених індикаторів (домени, хеші, ідентифікатори збірок) і визначенням масштабу допоможе постачальникам гаманців, біржам і командам безпеки розробити цільові перевірки та інструкції для користувачів.

Без цього підсумкові цифри інциденту залишаються нестабільними. Звіти від жертв можуть надходити із затримкою, кластеризація адрес ончейн може уточнюватися, а слідчі можуть ще з’ясовувати, чи мають різні drainers спільну інфраструктуру або ж це просто опортуністичні копії.

Ринок токенів відреагував на новину рухом, але без односторонньої переоцінки.

Останні котирування Trust Wallet Token (TWT) показали ціну $0.83487, що на $0.01 (0.02%) вище за попереднє закриття. Було зафіксовано внутрішньоденний максимум $0.8483 та мінімум $0.767355.

Підрахунок втрат залишається змінним. Поточний найнадійніший орієнтир — це діапазон від 6 до понад 7 мільйонів доларів, про який повідомляли у перші 48–72 години після поширення 2.68.

Цей діапазон ще може змінитися з типових причин для розслідувань крадіжок

Серед цих причин — затримка у звітуванні постраждалих, перекласифікація адрес і покращення видимості кросчейн-свопів і шляхів виведення коштів.

Практичний прогноз на наступні два-вісім тижнів можна сформулювати як сценарії, прив’язані до оціночних змінних. Серед них — чи був шлях компрометації обмежений лише введенням seed-фрази у 2.68, чи підтверджено додаткові способи отримання даних, і як швидко будуть видалені фішингові домени-“копії” під виглядом “виправлення”.

Інцидент стався на фоні ширшої уваги до того, як орієнтоване на роздріб криптопрограмне забезпечення обробляє секрети на універсальних пристроях.

Звіти про крадіжки у 2025 році були достатньо масштабними, щоб привернути увагу до політики й платформ.

Інциденти, пов’язані з розповсюдженням ПЗ, також підкріплюють заклики до контролю цілісності збірок, зокрема відтворюваних збірок, підпису розділеним ключем і чіткіших варіантів відкату у разі необхідності термінового виправлення.

Для розширень гаманців найближчий практичний висновок простий. Користувачі мають визначити, чи вводили вони seed-фразу під час встановленої 2.68, оскільки саме ця дія визначає, чи достатньо оновлення, чи потрібно змінювати секрети та переводити кошти.

Рекомендації Trust Wallet залишаються такими: вимкнути розширення 2.68 і оновити до 2.69 через Chrome Web Store.

Користувачі, які імпортували або вводили seed-фразу під час використання 2.68, повинні вважати цю seed-фразу скомпрометованою і перевести активи на новий гаманець.

Trust Wallet уже підтвердила, що приблизно $7 мільйонів було під загрозою у Chrome-інциденті з версією 2.68 і що всі постраждалі користувачі отримають відшкодування.

У заяві, опублікованій у X, компанія повідомила, що завершує процес повернення коштів та незабаром надасть інструкції щодо подальших дій. Trust Wallet також закликала користувачів не взаємодіяти з повідомленнями, які надходять не з офіційних каналів, попередивши, що шахраї можуть намагатися видати себе за команду під час процесу ліквідації наслідків.

Публікація Hidden script caught harvesting private keys as Trust Wallet issues emergency warning for Chrome users вперше з’явилася на CryptoSlate.