Огляд безпеки плагінних гаманців: страждають від підробленого програмного забезпечення та фішингових атак, прямі вразливості офіційних продуктів — рідкість

12 грудня 2023 року, сьогодні вранці, найбільша за кількістю користувачів некастодіальна криптогаманець Trust Wallet офіційно опублікував попередження про безпеку, підтвердивши наявність вразливості у браузерному плагіні версії 2.68. Блокчейн-детектив ZachXBT розкрив, що сотні користувачів Trust Wallet втратили свої кошти, загальна сума збитків склала щонайменше 6 мільйонів доларів США. Trust Wallet має понад 200 мільйонів завантажень, близько 17 мільйонів активних користувачів щомісяця, що становить приблизно 35% ринкової частки, і ця безпекова подія має широкий вплив. Огляд безпекових інцидентів, що трапилися з популярними браузерними плагінами: Trust Wallet також був виявлений у листопаді 2022 року з уразливістю WebAssembly, яка впливала лише на нові адреси гаманців, створені в період з 14 по 23 листопада 2022 року. Це призвело до крадіжки приблизно 170 000 доларів США. Trust Wallet виявив проблему через програму винагород за вразливості, виправив її та повністю компенсував постраждалим користувачам. MetaMask у 2022 році зазнав уразливості «Demonic», яка впливала на старі версії до 10.11.3, потенційно могла спричинити витік приватних ключів у пам’ять браузера, але масштабних фінансових втрат не зафіксовано. У період з 2023 по 2025 роки офіційний гаманець MetaMask працював без значних інцидентів, але часто піддавався атакам фальшивих розширень. Згідно з доповіддю Chainalysis, у 2025 році кількість випадків крадіжки у користувачів MetaMask значно зросла через фішинг та шкідливе програмне забезпечення, а не через безпеку самого плагіна. MetaMask публікує щомісячні звіти про безпеку, але, як популярний гаманець на базі Ethereum, залишається головною ціллю для підробок. Phantom (основний гаманець для Solana) також був уразливий у 2022 році через уразливість «Demonic», але масштабних втрат не зафіксовано. На початку 2025 року виникли безпекові суперечки щодо Phantom, один користувач втратив 500 000 доларів США через те, що приватний ключ був збережений у пам’яті без шифрування, що дозволило хакерам здійснити атаку. У результаті було подано колективний позов у суді Південного округу Нью-Йорка. Офіційна заява Phantom категорично заперечує всі звинувачення, називаючи їх безпідставними, і наголошує, що Phantom — це некастодіальний гаманець, і відповідальність за безпеку коштів лежить на користувачах. Rabby Wallet (дружній до DeFi плагін) у 2022 році зазнав крадіжки близько 200 000 доларів США через уразливість Rabby Swap, яка була викликана не самим плагіном, а вбудованою функцією Swap. Найпоширенішим способом крадіжки з браузерних гаманців є завантаження підроблених додатків. У 2025 році у магазині Firefox відбулося кілька таких інцидентів, що торкнулися MetaMask, Phantom, Trust Wallet та інших популярних криптогаманців. У порівнянні з цим, безпосередні вразливості офіційних плагінів трапляються рідше, тому рекомендується завантажувати їх лише з офіційного Chrome Web Store для забезпечення безпеки коштів.