#钱包安全风险与攻击事件 У ніч на Різдво, браузерне розширення Trust Wallet версії 2.68 було зламано. Понад 6 мільйонів доларів активів були виведені за кілька годин, найсумніший випадок — один гаманець втратив 3,5 мільйона доларів, і цей гаманець вже був неактивним рік — хакери навіть не залишилися без уваги до сплячого гаманця.

Після аналізу від SlowMist я зробив висновок: це не звичайне зараження стороннього пакету, а професійна атака рівня APT. Зловмисники, ймовірно, отримали доступ до прав розробника або прав на розгортання ще 8 грудня, а потім прямо в коді вставили бекдор, використовуючи легальні інструменти типу PostHog для таємного відправлення мнемонічних фраз користувачів на зловмисний сервер.

Ця подія дала мені глибокий урок:

**По-перше, браузерні розширення для гаманців завжди — зона високого ризику.** Це як тримати приватний ключ у відкритому місці: якщо хтось контролює код, все ваше майно під загрозою. Мій нинішній принцип — використовувати браузерне розширення для перегляду балансу та взаємодії з контрактами, але категорично не зберігати великі суми там довгостроково.

**По-друге, номер версії не обманює.** Не зволікайте з оновленням, коли виходить нова версія, але й не оновлюйте сліпо. Офіційна реакція Trust Wallet була досить швидкою: як тільки з’явилася версія 2.69, її потрібно було негайно встановити. Багато з постраждалих використовували 2.68 — урок на крові.

**По-третє, найжорсткіше — навіть якщо ваш гаманець спав два роки, хакери все одно можуть розкопати ваш гроб.** Що це означає? Що заходи безпеки — не разова дія. Потрібно регулярно перевіряти, оновлювати, а іноді й переносити активи.

Зараз Trust Wallet запускає процес компенсації, але це не головне. Головне — щоб жити довго, потрібно бути ще обережнішим за хакерів. Якщо ви досі зберігаєте великі суми у браузерних гаманцях — час діяти.