Новости BlockBeats, 26 декабря, сегодня утром Trust Wallet — некастодиальный криптокошелёк с наибольшей пользовательской базой — официально выпустил предупреждение о безопасности, подтвердив уязвимость в версии браузерного расширения 2.68. Ончейн-детектив ZachXBT сообщил, что сотни пользователей Trust Wallet лишились средств на сумму не менее $6 млн. Trust Wallet накопил более 200 млн загрузок, имеет около 17 млн ежемесячных активных пользователей и занимает примерно 35% доли рынка, что делает этот инцидент широко значимым. Обзор инцидентов безопасности, с которыми столкнулись несколько основных браузерных расширений, представлен ниже:
В ноябре 2022 года в браузерном расширении Trust Wallet также была обнаружена уязвимость WebAssembly, затронувшая только новые адреса кошельков, созданные между 14 и 23 ноября 2022 года. Это привело к краже средств на сумму около $170 000. Trust Wallet выявил проблему через программу вознаграждения за баги, устранил уязвимость и полностью компенсировал потери пострадавшим пользователям.
В 2022 году MetaMask столкнулся с уязвимостью «Demonic», затронувшей старые версии до 10.11.3, где приватные ключи могли оставаться в памяти браузера, но не было зафиксировано крупных потерь средств. С 2023 по 2025 год официальное расширение кошелька MetaMask работало безопасно, но часто подвергалось воздействию поддельных расширений. Отчёт Chainalysis указал на всплеск аномальных случаев краж среди пользователей MetaMask в 2025 году, в основном из-за поддельного вредоносного ПО и фишинга, а не из-за безопасности самого расширения. MetaMask регулярно публикует ежемесячные отчёты о безопасности, но как популярное расширение для Ethereum оно остаётся основной целью для подделок.
Phantom (основное расширение для кошелька Solana) также был затронут уязвимостью «Demonic» в 2022 году, но, аналогично, не было зафиксировано крупных потерь средств. В начале 2025 года возник спор о безопасности расширения Phantom, когда пользователь потерял $500 000 из-за того, что Phantom хранил приватные ключи незашифрованными в памяти, что привело к хакерской атаке; в Южном округе Нью-Йорка был подан коллективный иск. Phantom официально выпустил заявление, категорически отвергая все обвинения, назвав иск «безосновательным», и подчеркнул, что Phantom — некастодиальный кошелёк, и ответственность за безопасность средств лежит на пользователе.
В 2022 году Rabby Wallet (расширение, дружественное к DeFi) подвергся взлому, в результате которого было украдено криптоактивов на сумму около $200 000 из-за уязвимости в Rabby Swap, которая возникла не в самом расширении, а во встроенной функции обмена.
Наиболее распространённый метод кражи для браузерных расширений кошельков — загрузка поддельных приложений, с множеством таких инцидентов, сконцентрированных в магазине Firefox в 2025 году, затрагивающих основные крипто-расширения, такие как MetaMask, Phantom и Trust Wallet. В отличие от этого, прямые официальные уязвимости в расширениях относительно редки. Рекомендуется загружать расширения только из официального Chrome Web Store для обеспечения безопасности средств.
