Trust Wallet сообщает о взломе: утечка активов на сумму $8,5 млн и уроки для индустрии

Команда Trust Wallet опубликовала отчет о взломе, который произошел 26 декабря. Злоумышленники получили доступ к браузерному расширению и похитили активы на сумму $8,5 млн.

По предоставленным данным, инцидент затронул 2520 адресов. Разработчики пообещали полностью возместить убытки пострадавшим пользователям.

Взлом был результатом крупномасштабной атаки на цепочку поставок Sha1-Hulud, зафиксированной еще в ноябре. В ходе атаки хакеры получили доступ к конфиденциальным данным разработчиков на GitHub и API-ключам Chrome Web Store.

С помощью украденной информации злоумышленники:

Зловредная версия расширения действовала с 24 по 26 декабря. После выявления проблемы команда вернула расширение к безопасной версии 2.69 и аннулировала скомпрометированные ключи.

Уязвимость затронула исключительно пользователей версии 2.68 браузерного расширения, которые входили в кошелек в указанные даты. Мобильное приложение Trust Wallet и другие версии расширения остались защищенными.

Аналитики обнаружили 17 адресов, принадлежащих злоумышленнику, а общие потери составили $8,5 млн.

«Мы рассматриваем этот инцидент как серьезный урок для нашей команды и как важный момент для всей индустрии в контексте безопасности цепочек поставок», — прокомментировали в Trust Wallet.

Компания уже приступила к процессу помощи жертвам взлома. Для получения компенсации пользователи должны подать заявку через официальную форму поддержки и пройти процесс верификации владения кошельком.

В Trust Wallet отметили, что процедура усложнена из-за большого числа мошеннических попыток. На 2520 пострадавших адресов уже поступило более 5000 запросов. Команда призывает пользователей сохранять терпение и быть бдительными по поводу фишинга: официальная поддержка никогда не запрашивает сид-фразы.

Для предотвращения подобных инцидентов в будущем проект усилил меры безопасности, включая аудит кодовых зависимостей и регулярную ротацию учетных данных.

Стоит отметить, что в 2025 году объем средств, похищенных через фишинговые атаки, снизился на 83% и составил $83,85 млн, согласно данным SlowMist.