В ночь с 25 на 26 декабря криптосообщество всколыхнула волна сообщений о массовых хищениях активов из кошельков Trust Wallet. Официальное признание инцидента со стороны разработчиков последовало лишь на следующее утро.
Жертвы атаки зафиксировали несанкционированный вывод средств на сторонние адреса. Суммы ущерба разнились: если одни лишились нескольких сотен долларов, то потери других исчислялись десятками тысяч. Аномальную активность в сети подтвердили профильные аналитики, включая известного блокчейн-детектива ZachXBT.
Основной причиной инцидента пользователи называют установку расширения Trust Wallet для браузера Google Chrome. Судя по всему, в момент обновления злоумышленникам удалось подменить легитимное ПО скомпрометированным кодом.
Представители Trust Wallet позже подтвердили, что кража активов действительно произошла из-за уязвимости в браузерном софте. Компания уточнила, что критическая ошибка касается исключительно версии 2.68, и призвала всех немедленно обновиться до версии 2.69:
«Инцидент не затронул мобильное приложение и другие версии расширений. Мы осознаем серьезность произошедшего, и наша команда делает все возможное для локализации проблемы. Мы будем держать сообщество в курсе событий», — заявили в компании.
На текущий момент суммарный объем украденных средств превышает 7 миллионов долларов, что эквивалентно более чем 500 миллионам рублей. При этом речь идет только о верифицированных транзакциях. Основатель биржи Binance Чанпэн Чжао (CZ), чей холдинг владеет Trust Wallet, пообещал, что пострадавшим пользователям будут выплачены компенсации.