Вечером 25 декабря 2025 года пользователи в Твиттер стали массово жаловаться на пропажу средств в кошельке Trust Wallet. Активы уводят на другие адреса, суммарный ущерб, по первым жалобам, превышает 2,5 миллиона долларов, и эта цифра не окончательная, она продолжает расти. Официального заявления от компании пока не было.
Что произошло: после 18 часов вечера в X стали появляться посты, в которых пользователи пишут о пропаже средств со счетов. Никаких транзакций при этом они не проводили и практически наблюдали, как баланс в хранилище тает, но сделать ничего не могли. Поддержка оперативных мер не предприняла, теперь возникает несколько вопросов — по чьей вине произошла утечка, будет ли компенсация от ТрастВаллет, сколько реальных средств вывели из сервиса, когда будет устранена уязвимость?
Пока команда кошелька занята решением проблем, в сети активно обсуждают возможные причины взлома. Все пострадавшие использовали не приложение, а браузерную версию хранилища, обновление которого вышло 24 декабря. Могло ли случиться так, что обновление выкатили с ошибкой, а быстрые и смекалистые пользователи нашли уязвимость и воспользовались ей? Разумеется, могло, но есть и другие версии.
Материальный ущерб для компании пока не критичный, ситуация больше бьет по репутации сервиса. Возможно, кто-то из сотрудников отдела разработки решил таким образом выписать себе премию? Такой вариант нельзя отрицать. В сети уже появились адреса кошельков, на которые уходят токены. За последние пару часов их баланс вырос на 6 миллионов, цифры быстро растут. Отслежены адреса в BTC, Solana и EVM сетях. Судя по количеству транзакций, пострадавших уже несколько сотен человек. Вот адреса, на которые сливают крипту из Траст Валлет:
Можно предположить скам самого проекта? Вряд ли, компания имеет внушительную аудиторию и является одним из лидирующих кошельков на рынке криптовалют. Но удивительно, что представители не делают официального заявления, чтобы успокоить клиентов. Хакерская атака после обновления, пока идут тесты уязвимости? Такой вариант возможен, технически картина выглядит так: при входе в кошелек расширение “крадет” seed фразу и сразу же начинает свапать активы в мемкоины, затем выводит их на подготовленные адреса или в миксеры.
В 2023 году у Trust Wallet уже возникала уязвимость WebAssembly, которую в рамках программы вознаграждения за обнаруженные ошибки выявили пользователи в открытом исходном коде. Тогда ущерб составил всего 170 000 долларов, но важно, что проблема возникла только с кошельками браузерной версии, созданных в период с 14 по 23 ноября 2022 года. После устранения проблемы осталось около 500 кошельков, где уязвимость сохранилась. Баланс этих хранилищ на тот момент составлял около 90 тысяч долларов.
До официального ответа TrustWallet судьба потерянных активов не станет понятна, в прошлый раз компания признала свою ошибку и компенсировала пользователям все убытки. Будет ли так и в этот раз, узнаем в ближайшее время.
