Trust Wallet просит пользователей срочно обновить расширение для Google Chrome до последней версии после “security incident”, который, по их словам, уже привёл к потерям примерно на $7 миллионов.
Проблема затрагивает версию расширения 2.68 (у расширения около 1 млн пользователей по данным карточки в Chrome Web Store). Всем, у кого стояла 2.68, рекомендуют немедленно обновиться до 2.69. Trust Wallet также публично заявил, что подтверждает ущерб примерно на $7M и обещает компенсировать потери пострадавшим.
При этом компания отдельно предупреждает: не взаимодействуйте с сообщениями и “помощью”, которые приходят не из официальных каналов Trust Wallet. Важно: мобильные пользователи (только приложение) и другие версии расширения, кроме 2.68, по заявлению Trust Wallet, не затронуты.
По данным SlowMist, в 2.68 появился вредоносный код, который перебирал кошельки, сохранённые в расширении, и запускал запрос мнемонической фразы (seed phrase) для каждого кошелька. Дальше — неприятная классика: “зашифрованная мнемоника” расшифровывалась паролем, который пользователь вводит при разблокировке, и затем отправлялась на сервер атакующего api.metrics-trustwallet[.]com.
Домен metrics-trustwallet[.]com, как сообщается, зарегистрировали 8 декабря 2025, а первые обращения к api.metrics-trustwallet[.]com начались 21 декабря 2025. Дополнительно аналитики отмечают, что злоумышленник использовал open-source библиотеку аналитики posthog-js для сбора данных пользователей, а “аналитический трафик” фактически превратился в канал утечки.
Среди украденных активов упоминаются примерно $3 млн в BTC, небольшая сумма в Solana и более $3 млн в Ethereum. Украденное, по данным расследователей, прогоняли через централизованные биржи и кроссчейн-мосты для отмывания и обмена. ZachXBT писал, что пострадавших — сотни. PeckShield добавлял, что часть средств всё ещё лежит на кошельках злоумышленника, но основная масса ушла на сервисы/биржи, включая ChangeNOW, FixedFloat и KuCoin.
SlowMist утверждает, что это похоже не на заражённую стороннюю зависимость (типа “вредоносный npm-пакет”), а на вмешательство прямо в кодовую базу расширения (логика аналитики). Trust Wallet допускал версию про актор уровня государства. Чанпэн Чжао (CZ) намекал, что это “скорее всего” мог быть инсайдер, но без доказательств.
Trust Wallet в апдейте попросил пострадавших заполнить форму на саппорт-портале trustwallet-support.freshdesk[.]com, чтобы запустить процесс компенсации (контактный email, страна, адрес(а) кошельков, куда утекли средства, и хэши транзакций).
И тут же самое важное человеческим языком: уже пошли мошеннические схемы через Telegram-рекламу, фейковые “компенсационные” формы, поддельные аккаунты поддержки и личные сообщения. Trust Wallet прямо предупреждает: проверяйте ссылки, никогда не делитесь recovery phrase и используйте только официальные каналы.
CEO Trust Wallet - Эовин Чен уточнила, что инцидент касается только пользователей Chrome-расширения 2.68, которые входили в расширение до 26 декабря 2025, 11:00 UTC. Также она заявила, что вредоносная версия 2.68 “не проходила” обычный ручной релиз-процесс и, по текущим выводам, могла быть опубликована через утёкший Chrome Web Store API key, минуя стандартные проверки, и была выложена 24 декабря 2025 в 12:32 UTC. После обнаружения компания сообщила о блокировке вредоносного домена, отзыве релиз-ключей и запуске выплат.