3 миллиона долларов за несколько часов: в Trust Wallet нашли бэкдор, ворующий seed-фразы

В браузерном расширении Trust Wallet нашли опасную уязвимость, из-за которой у пользователей могли украсть криптовалюту. Проблема затронула версию 2.68, и команда кошелька официально попросила всех, кто её установил, немедленно отключить расширение и обновиться до 2.69.

О первых жалобах сообщил исследователь ZachXBT. Он опубликовал сообщение о том, что «несколько пользователей Trust Wallet сообщили о краже средств с их кошельков за последние несколько часов». Почти сразу после этого Trust Wallet подтвердил риск именно в версии 2.68 для браузера и выпустил рекомендацию перейти на исправленную сборку.

Разбор инцидента опубликовала компания SlowMist, которая специализируется на безопасности блокчейн-проектов. Исследователи сравнили код версий 2.67 и 2.68 и нашли вставку, похожую на бэкдор. По их описанию, вредоносный фрагмент перебирал кошельки, сохранённые в расширении, и запрашивал для каждого сид-фразу. Далее использовался пароль, который пользователь вводит при разблокировке, либо альтернативный вариант разблокировки через passkeyPassword, чтобы расшифровать данные и подготовить их к отправке злоумышленникам.

Ключевой деталью стала доменная инфраструктура атакующих. SlowMist пишет, что сид-фразы и другие чувствительные данные уходили на api.metrics-trustwallet[.]com, связанный с доменом metrics-trustwallet.com. По данным исследователей, домен зарегистрировали 8 декабря 2025 года, а первые запросы к нему начали фиксироваться с 21 декабря. Эти даты совпадают с предполагаемым периодом внедрения вредоносного кода в расширение.

В динамическом анализе специалисты обратили внимание на хитрый приём. После разблокировки кошелька сид-фраза попадала в поле errorMessage, то есть в данные, которые выглядят как техническая ошибка. Затем этот блок отправлялся на сервер атакующих в составе обычного сетевого запроса. Также SlowMist отмечает, что злоумышленники использовали легитимную аналитическую библиотеку PostHog, но перенаправляли аналитический трафик на свой сервер, чтобы замаскировать утечку под обычную телеметрию.

По оценке SlowMist на момент публикации, совокупные потери могли исчисляться миллионами долларов. В качестве ориентиров приводятся около 33 BTC, что примерно соответствует 3 млн долларов, а также около 3 млн долларов в сетях Ethereum, включая решения второго уровня. В сети Solana сумма заметно меньше, речь идёт о сотнях долларов. После кражи средства, по данным расследования, переводились через несколько централизованных бирж и кроссчейн-мосты.

Отдельно подчёркивается, что это похоже не на заражённую стороннюю зависимость вроде вредоносного npm-пакета, а на прямое вмешательство в собственный код расширения. Из этого SlowMist делает вывод, что атаку могли готовить профессионалы, а доступ к среде разработки или к процессу публикации расширения мог быть получен заранее.

Пользователям, которые устанавливали расширение Trust Wallet, исследователи советуют действовать максимально осторожно. Имеет смысл прекратить работу расширения, сохранить сид-фразу или приватный ключ только безопасным способом и как можно быстрее перевести средства в другой кошелёк, которому вы доверяете. Если вы подозреваете компрометацию, любые действия на заражённом устройстве лучше выполнять осмотрительно, чтобы не ухудшить ситуацию.