Trust Wallet раскрывает подробности масштабного взлома: хакеры унесли $8,5 млн через уязвимость расширения

Команда Trust Wallet опубликовала отчёт о инциденте, ocorrido 26 декабря. Хакеры смогли скомпрометировать браузерное расширение, что привело к выводу средств на сумму $8,5 миллиона.

По информации разработчиков, атака затронула 2520 адресов. Они обязались полностью возместить ущерб пострадавшим пользователям.

Основной причиной взлома стала атака на цепочку поставок Sha1-Hulud, которая была зафиксирована ещё в ноябре. В ходе этой атаки злоумышленники получили доступ к конфиденциальной информации разработчиков на GitHub и к API-ключу для магазина Chrome Web Store.

С использованием украденных данных, злоумышленники:

Вредоносная версия расширения функционировала с 24 по 26 декабря. После выявления проблемы команда вернула расширение к безопасной версии 2.69 и отозвала все скомпрометированные ключи.

Уязвимость касалась только пользователей браузерного расширения версии 2.68, которые заходили в свой кошелёк в указанные дни. Мобильное приложение Trust Wallet и другие версии расширения остались вне риска.

Аналитики зафиксировали 17 адресов, находившихся под контролем хакера. Общий ущерб составил $8,5 миллиона.

«Мы рассматриваем этот инцидент как критически важный урок не только для нас, но и как важный момент для всей отрасли в отношении атак на цепочки поставок», — заметили в Trust Wallet.

Компания уже начала взаимодействие с жертвами взлома. Для получения компенсации пользователи должны подать заявку через официальную форму поддержки и подтвердить своё право на кошелёк.

Представители Trust Wallet подчеркнули, что процесс может быть усложнён наплывом мошенников. На 2520 пострадавших адресов уже поступило более 5000 заявок. Команда призывает пользователей быть терпеливыми и остерегаться фишинга: официальная служба поддержки никогда не требует сид-фраз.

Чтобы предотвратить подобные инциденты в будущем, проект усилил меры безопасности, включая аудит зависимостей кода и ротацию учётных данных.

Напомним, в 2025 году потери от фишинговых атак снизились на 83% и составили $83,85 миллиона, согласно отчёту SlowMist.