Trust Wallet пропали деньги! Массовый ущерб более 10 млн USD и опасность браузерного расширения Chrome

Trust Wallet пропали деньги: Хроника событий

Давай сразу к делу, без воды. Сценарий у всех пострадавших до боли одинаковый, как под копирку с плохим оффером: пользователи, установившие trust wallet расширение для браузера, обнаруживают свои кошельки пустыми сразу после логина. Особенно часто жалобы приходят от тех, кто работал через trust wallet расширение для хром — видимо сейчас это самая уязвимая точка кошелька.

Ты качаешь и устанавливаешь браузерное расширение Trust Wallet для Chrome, а при первой авторизации мошенники получают доступ и выводят твои средства.


По предварительным подсчетам, которые гуляют по приватным каналам расследователей, общий ущерб уже перевалил за $2 млн. И это только то, что удалось отследить публично. Реальная цифра, скорее всего, намного больше, учитывая, сколько арбитражников и криптанов не любят светить свои потери.

Техническая часть: как именно украли деньги с Trust Wallet

Пока официальная команда Trust Wallet молчит, Рождество на носу, все пунш под елкой хлебают, а не саппортом заморачиваются… комьюнити выдвигает гипотезы. Самая больная точка сейчас — это trust wallet расширение для хром и вообще любое trust wallet расширение для браузера.
 

• Уязвимость в самом расширении. Возможно, в обновлении trust wallet расширения для хром или других браузеров проскочил эксплойт, который дает злоумышленникам возможность перехватывать приватные ключи или подписывать выводы сразу после разблокировки.
• Проблема на стороне браузеров. Уже были ситуации с Chrome и собратьями на Chromium, когда дампили данные через зловредные скрипты, подменяли адреса прямо при работе в расширении.

Но суть одна: в подавляющем большинстве кейсов, когда люди пишут, что украли деньги с Trust Wallet, реальные списания происходили именно после разблокировки кошелька и запуска trust wallet расширения для браузера. Мобильные приложения пока вроде под прицелом не стоят, но кто даст гарантию?
На текущий момент ситуация становится только хуже. Деньги продолжают пылесосить, успевая отмывать и выводить по цепочке на другие адреса. 

Крупнейшая разовая потеря — 666 ETH — примерно $2kk. Только 26 операций позволили украсть более $10 600 000. Отслеживать за событием можно на intel arkm.

Что делать прямо сейчас?

Не будь хомяком, который ждет, пока его побреют. Пока нет официальных комментариев от разработчиков, алгоритм действий простой:

• Стоп кран. Полностью воздержись от использования браузерного расширения Trust Wallet. Удали его, отключи, забудь про него на время.
• Сделай паузу и до объявления официальных ответов о фиксе, не лезь лишний раз в свой кошелек. Не вводи нигде сид-фразу, не логинся, не сбрасывай доступы, чтобы не попасть в руки мошенникам, пока Траст еще в уязвимости. 
• После того, как ситуация стабилизируется подумай над диверсификацией своих доходов, распредели средства на несколько разных кошельков, чтобы в одном моменте не потерять сразу и все.

Мы следим за ситуацией. Как только появится конкретика или фикс — дадим знать. А пока — береги свои ROI и кошельки. В крипте, как и в арбитраже: сегодня ты на коне, а завтра льешь в минус из-за одной глупой ошибки.

Бди.