Командой КоинКит зафиксирован масштабный инцидент безопасности, затронувший пользователей браузерного расширения Trust Wallet для Google Chrome. В результате атаки на цепочку поставок (supply chain attack) злоумышленники получили доступ к сид-фразам пользователей и осуществили несанкционированный вывод криптовалютных активов.
По предварительным оценкам, совокупный ущерб превышает $1 млн, однако анализ открытых источников и on-chain-данных указывает, что итоговая сумма потерь может достигать $7 млн и выше. Инцидент был оперативно локализован, а пострадавшим пользователям заявлена компенсация.
О проведении крипторасследования
AML-офицеры КоинКит проводят расследования инцидентов, связанных с компрометацией кошельков, вредоносными обновлениями, фишинговыми атаками и иными формами хищения цифровых активов. В рамках подобных кейсов используется глубокая аналитика блокчейна, включая восстановление маршрутов движения средств, выявление инфраструктуры злоумышленников и конечных точек вывода.
Начать крипторасследование совместно с КоинКит
Что произошло?
25 декабря 2025 года пользователи начали массово сообщать о несанкционированных списаниях средств из кошельков сразу после использования обновлённого браузерного расширения Trust Wallet версии 2.68 для Chrome.
В ряде случаев криптовалюта автоматически переводилась на сторонние адреса без подтверждений со стороны владельцев. Анализ показал, что компрометация затронула исключительно пользователей браузерного расширения — мобильное приложение Trust Wallet не пострадало.
Технические детали и хронология атаки
Механизм компрометации
Анализ скомпрометированной версии расширения (v2.68) позволил восстановить технический механизм атаки:
— в код расширения была внедрена поддельная JavaScript-библиотека, маскирующаяся под аналитический сервис PostHog;
— библиотека была сконфигурирована на отправку данных на домен api.metrics-trustwallet.com, зарегистрированный незадолго до атаки;
— автосбор событий был отключён, что указывает на целенаправленный сбор чувствительной информации;
— сид-фразы пользователей перехватывались в момент импорта или разблокировки кошелька;
— данные временно сохранялись в localStorage браузера и затем передавались злоумышленнику.
Хронология инцидента
- ≈ 8 декабря — начало подготовительных действий злоумышленников;
- 22 декабря — предполагаемая дата внедрения вредоносного кода (атака на цепочку поставок);
- 24 декабря — выпуск обновления Trust Wallet для Chrome версии 2.68;
- 25 декабря — массовые несанкционированные списания, фиксация адресов кражи, первые публичные сообщения пользователей;
- после обнаружения — экстренный выпуск версии 2.69, официальное подтверждение проблемы и заявление о компенсациях.
Как работала схема?
Атака была реализована поэтапно:
1. компрометация исходного кода расширения (supply chain attack);
2. распространение обновления через официальный канал;
3. перехват сид-фраз при импорте или разблокировке кошелька;
4. несанкционированный вывод средств;
5. распределение активов через кросс-чейн-мосты, обменники и биржи.
Движение украденных средств
В рамках расследования аналитиками КоинКит было установлено, что часть украденных средств была направлена через мост Relay.link в сеть Solana и сконвертирована в токены SOL. Далее активы были выведены на биржу ChangeNOW
Рис. 1. начало движение украденных ETH и дальнейшие дробление активов до площадок, усложняющих отслеживание
Оставшиеся средства проходили через цепочки транзитных адресов и поступали на депозитные адреса централизованных площадок, включая FixedFloat, KuCoin и HTX.
«Наши AML-офицеры оперативно восстановили маршруты движения средств и выявили ключевые точки вывода. Профессиональный мониторинг транзакций и взаимодействие с биржами-реципиентами остаются критически важными инструментами для минимизации ущерба при подобных инцидентах»,
— отмечает AML-специалист КоинКит.
Адреса, задействованные в хищении
EVM
- 0x3b09A3c9aDD7D0262e6E9724D7e823Cd767a0c74
- 0x463452C356322D463B84891eBDa33DAED274cB40
- 0xa42297ff42a3b65091967945131cd1db962afae4
- 0xe072358070506a4DDA5521B19260011A490a5aaA
- 0xc22b8126ca21616424a22bf012fd1b7cf48f02b1
- 0x109252d00b2fa8c79a74caa96d9194eef6c99581
- 0x30cfa51ffb82727515708ce7dd8c69d121648445
- 0x4735fbecf1db342282ad5baef585ee301b1bce25
- 0xf2dd8eb79625109e2dd87c4243708e1485a85655
Bitcoin
- bc1qjj7mj50s2e38m4nn7pt2j0ffddxmuxh2g8tyd8
- bc1ql9r9a4uxmsdwkenjwx7t5clslsf62gxt8ru7e8
- bc1q4g8u7kctk6f2x3f6nh43x76qm4fd0xyv3jugdy
- bc1qw7s35umfzgcc7nmjdj9wsyuy9z3g6kqjr0vc7w
- bc1qgccgl9d0wzxxnvklj4j55wqeqczgkn6qfcgjdg
- bc1q3ykewj0xu0wrwxd2dy4g47yp75gxxm565kaw6m
Solana
- HoQ6z1wW3LUnEGHnseC3ND3PoC6i6RghMCphHhK42FEH
Убытки и затронутые активы
По предварительным данным, ущерб от инцидента оценивался в более чем $1 млн, однако по результатам расследования, проведённого экспертами КоинКит, совокупный объём похищенных средств уже составил $8 097 655, что эквивалентно 639 568 335,35 ₽.
В структуре украденных активов зафиксированы: BTC на сумму $4 100 036,01, ETH — $3 250 280,91, USDT — $523 827,85 и USDC — $223 161,31. Данные значения получены на основе on-chain-анализа и подтверждённых маршрутов движения средств.
Итог
Инцидент с Trust Wallet демонстрирует системные риски атак на цепочку поставок даже в случае официальных обновлений программного обеспечения. Компрометация браузерного расширения позволила злоумышленникам получить доступ к сид-фразам пользователей и организовать масштабное хищение средств с последующим отмыванием через кросс-чейн-инфраструктуру и централизованные сервисы.
Пользователям рекомендуется проверять обновления, оперативно реагировать на уведомления о безопасности и анализировать криптовалютные транзакции на связи с высокорискованными участниками рынка до и после совершения операций.
Статья несет исключительно информационный характер и представляет фактическую и аналитическую информацию о конкретном инциденте безопасности в сфере криптовалют.
