Przegląd incydentów związanych z bezpieczeństwem portfeli wtyczek: liczne problemy z fałszywym oprogramowaniem i atakami phishingowymi, niewiele bezpośrednich luk po stronie oficjalnej

BlockBeats wiadomości, 26 grudnia, dziś rano oficjalny Trust Wallet opublikował ostrzeżenie dotyczące bezpieczeństwa, potwierdzając, że wersja 2.68 wtyczki przeglądarkowej Trust Wallet zawiera lukę w zabezpieczeniach. Według monitoringu on-chain prowadzonego przez detektywa ZachXBT, setki użytkowników Trust Wallet padło ofiarą kradzieży środków, a straty wyniosły co najmniej 6 milionów dolarów. Poniżej przedstawiono incydenty związane z bezpieczeństwem, które dotknęły główne wtyczki przeglądarkowe:

Wtyczka przeglądarkowa Trust Wallet została również w listopadzie 2022 roku wykryta z luką WebAssembly, która dotyczyła tylko nowych adresów portfeli utworzonych w okresie od 14 do 23 listopada 2022 roku. Spowodowało to kradzież środków o wartości około 170 tysięcy dolarów. Trust Wallet wykrył problem poprzez program nagród za wykrycie błędów, naprawił lukę i w pełni zrekompensował poszkodowanych użytkowników.

MetaMask w 2022 roku doświadczył luki „Demonic”, która dotyczyła starszych wersji przed 10.11.3, gdzie klucz prywatny mógł być ujawniony w pamięci przeglądarki, jednak nie odnotowano znanych przypadków masowej utraty środków. W latach 2023–2025 oficjalna wtyczka portfela MetaMask działała bezpiecznie, lecz była często atakowana przez fałszywe rozszerzenia. Raport Chainalysis wskazuje, że w 2025 roku gwałtownie wzrosła liczba nietypowych kradzieży środków użytkowników MetaMask, głównie z powodu złośliwego oprogramowania i phishingu, a nie samego bezpieczeństwa wtyczki. MetaMask publikuje comiesięczne raporty bezpieczeństwa, ale jako popularny portfel wtyczkowy dla Ethereum, pozostaje głównym celem podróbek.

Phantom (główny portfel wtyczkowy Solana) również w 2022 roku był podatny na lukę „Demonic”, jednak również nie odnotowano znanych przypadków masowej utraty środków. Na początku 2025 roku pojawiły się kontrowersje dotyczące bezpieczeństwa wtyczki portfela Phantom – jeden z użytkowników stracił 500 tysięcy dolarów, co przypisano temu, że klucz prywatny nie był szyfrowany przez Phantom i przechowywany w pamięci, co umożliwiło atak hakerski. W tej sprawie złożono pozew zbiorowy w Sądzie Okręgowym Południowego Dystryktu Nowego Jorku. Oficjalne oświadczenie Phantom stanowczo zaprzeczyło wszystkim zarzutom, określając pozew jako „bezpodstawny” i podkreślając, że Phantom jest portfelem niepowierniczym, a odpowiedzialność za bezpieczeństwo środków spoczywa na użytkownikach.

Rabby Wallet (przyjazna DeFi wtyczka) w 2022 roku doświadczył kradzieży około 200 tysięcy dolarów aktywów kryptowalutowych z powodu luki w Rabby Swap, która nie wynikała z samej wtyczki, lecz z wbudowanej funkcji Swap.

Najczęstszym sposobem kradzieży środków z portfeli wtyczek przeglądarkowych jest pobieranie fałszywych aplikacji. W 2025 roku w sklepie Firefox odnotowano wiele takich przypadków, które dotknęły główne portfele wtyczkowe, takie jak MetaMask, Phantom, Trust Wallet i inne. Natomiast oficjalne luki w samych wtyczkach są stosunkowo rzadkie. Zaleca się użytkownikom pobieranie wyłącznie z oficjalnego Chrome Web Store, aby zapewnić bezpieczeństwo środków.