TrustWallet, підтриманий Binance і один з найпопулярніших non-custodial гаманців у криптосвіті, зазнав ексцентричного злому. Зловмисники змогли перехопити seed-фрази, автономно відновити гаманці та викрали понад $7 мільйонів у різних криптовалютах.
Ось як було зламано TrustWallet і чому це було настільки руйнівно
Сьогодні, 26 грудня 2025 року, TrustWallet, популярний мульти-ланцюговий криптогаманець, зазнав хакерської атаки. Як з'ясували кібербезпекові дослідники, шкідливий код — JavaScript payload — було впроваджено у збірку v2.68.0 розширення для браузера TrustWallet для Google Chrome.
TrustWallet розгорнув інфіковане розширення Chrome v2.68.0 24 грудня 2025 року. Одразу після цього користувачі, які імпортували чи отримували доступ до своїх seed-фраз через цю версію, почали миттєво втрачати кошти.
Технічно, вектор атаки був наступним: шкідливий програмний елемент розпізнавався гаманцем як аналітичний модуль. Проте насправді він отримував доступ до seed-фраз і надсилав їх на домени, створені кілька днів тому.
Щоб приховати це, домени маскувалися під "TrustWallet Metrics", "TrustWallet Metrics API" та схожими назвами. Водночас, як тільки мнемоніки просочувалися, зловмисники просто відновлювали ("імпортували") гаманці на своїй інфраструктурі та легітимно виводили кошти.
Цей підхід зробив злом надзвичайно небезпечним і прихованим: із вкраденими seed-фразами зловмисникам не потрібно було ні підтвердження, ні авторизації, ані навіть відкривати сам гаманець. Ось чому єдина рекомендація від дослідників безпеки — вимикати комп’ютери з встановленими TrustWallet від інтернету.
Атака зачепила кошти на Bitcoin (BTC), Solana (SOL), BNB Smart Chain (BSC) та ряді L2 екосистеми EVM.
Команда TrustWallet порушує мовчання: Чи будуть відшкодовані втрати?
Вкрадені кошти одразу були відправлені на ChangeNOW, FixedFloat, KuCoin та HTX. Спочатку користувачі навіть не могли підрахувати, скільки криптовалюти було вкрадено.
Згідно з офіційною заявою TrustWallet, чиста сума втрат становить еквівалент $7 мільйонів. Розробники вже випустили збірку v2.69.0 і закликають усіх оновитись до неї.
Команда TrustWallet запевнила, що кожній жертві буде відшкодовано кошти. Точні деталі програми компенсації ще будуть оголошені.
Ціна TWT негайно впала до $0.76, найнижчого рівня з середини вересня, втративши 8% за короткий час. На момент публікації втрати вже були поглинуті.
