Злам Kiln та наслідки для користувачів Trust Wallet: аналіз BitHide

Підготовлено командою BitHide | 10 вересня 2025 року

Коротко про головне

1. Експлойт API призвів до крадіжки $41 млн. Хакери скомпрометували API Kiln, викравши 193 000 SOL у SwissBorg та оголивши інфраструктурні ризики в DeFi.
2. Користувачі Trust Wallet втратили доступ до коштів. Мільйони не змогли побачити стейкінгові баланси через збій API, хоча активи залишалися у безпеці.
3. Проблеми з прозорістю. Trust Wallet уникав слів «злам» чи «атака». Користувачі залишилися без чіткої інформації та строків відновлення.
4. Залежність від сторонніх сервісів. Використання Kiln як посередника зробило всю систему вразливою: збій у одного провайдера спричинив проблеми одразу на кількох платформах.
5. Уроки безпеки для користувачів. Завжди перевіряйте кошти ончейн, диверсифікуйте провайдерів і обережно використовуйте сторонні Earn- та стейкінг-сервіси.

8–9 вересня 2025 року стався значний інцидент, пов’язаний із Kiln — великим провайдером інфраструктури для стейкінгу. Він призвів до збоїв на кількох криптоплатформах, включно з Trust Wallet. Спочатку це подавалося як «технічна проблема». Насправді відбулася цілеспрямована компрометація API, у результаті якої було викрадено понад $41 млн у SwissBorg, а мільйони користувачів Trust Wallet втратили доступ до своїх застейканих коштів через інтерфейс платформи.

Хронологія подій

• 8 вересня 2025 року: користувачі Trust Wallet почали повідомляти про проблеми з розділом Earn: стейкінгові баланси зникли з інтерфейсу застосунку, функції стейкінгу стали недоступними.
• 9 вересня 2025 року: Kiln підтвердила, що стався серйозний інцидент безпеки з компрометацією API, який призвів до крадіжки 193 000 SOL (~$41 млн) із програми SwissBorg Solana Earn.

Технічна сторона зламу

Атака була націлена на API-інфраструктуру Kiln, яка слугує мостом між криптозастосунками та стейкінговими мережами. Хакери використали вразливості в цьому API, щоб маніпулювати запитами та перенаправляти кошти. Викрадені активи були переведені на гаманець, позначений у блокчейн-оглядачах як «SwissBorg Exploiter».

Вплив на інфраструктуру Kiln

Kiln, яка управляє понад $16 млрд у цифрових активах і контролює більш як 5% мережі Ethereum, була змушена призупинити всі свої сервіси — від дашборду й віджетів до API. Як запобіжний захід Kiln також ініціювала виведення понад 1,6 млн ETH зі стейкінгу. Вплив поширився і на DeFi-сектор. Постраждала інфраструктура з більш ніж $380 млн TVL (Total Value Locked).

Відповідь Trust Wallet: «технічне оновлення»

Офіційна реакція Trust Wallet була помітно стриманою: ситуацію описали як «технічне оновлення», не визнаючи факт інциденту безпеки. Компанія заявила, що «кошти у безпеці, баланси не зачеплені». Водночас деталі інциденту, конкретні ризики для користувачів і строки відновлення сервісу озвучені не були.

Крім того, комунікаційна стратегія Trust Wallet підсвітила тривожні патерни кризового менеджменту. Компанія демонстративно уникала термінів на кшталт «злам» чи «атака» у публічних заявах. Натомість — евфемізми, що применшували серйозність події. Ба більше, жодного спільного публічного звіту з Kiln випущено не було, попри прямий зв’язок компаній у межах інциденту.

Відсутність прозорої «дорожньої карти» з відновлення доступу до коштів — ще один критичний провал у кризових комунікаціях. Користувачі, яких торкнувся збій сервісу, залишилися без чітких строків, конкретних кроків і вимірюваних індикаторів прогресу. Невизначеність посилилася мінімальним визнанням проблем користувачів: заяви Trust Wallet були зосереджені переважно на технічних аспектах, а не на людському вимірі інциденту.

Аналітика BitHide: статус користувацьких коштів

У ході нашого розслідування ми встановили, що Trust Wallet не розміщує сховище Morpho Steakhouse USDT напряму. Замість цього він використовує DeFi-прошарок Kiln для взаємодії з ончейн-контрактом сховища (0xbEef047a543E45807105E51A8BBEFCc5950fcfBa).

Коли користувач ініціює депозит USDT Earn у Trust Wallet, застосунок надсилає підписану транзакцію в API Kiln, який далі спрямовує депозит у сховище Morpho Steakhouse USDT у мережі Ethereum. Поточні ончейн-метрики сховища — понад $110 млн загальних депозитів, $13 млн доступної ліквідності та 6,40% APY — публічно доступні на дашборді Morpho та підтверджуються в DeBank у пулі з міткою «Trust Wallet Morpho Steakhouse USDT Pool».

Trust Wallet залежить від API Kiln для отримання та відображення балансів сховища. Таким чином, відключення API після інциденту безпеки у Kiln завадило мобільному застосунку отримувати будь-які дані про баланси, хоча всі активи залишалися у безпеці та були зафіксовані в контракті Morpho. Користувачі можуть самостійно підтвердити володіння своїми депозитами USDT, звернувшись безпосередньо до контракту сховища через Etherscan або підключивши будь-який Web3-гаманець до інтерфейсу Morpho.

Детальну схему інтеграційної архітектури можна переглянути в офіційному оголошенні Kiln. Ця блок-схема демонструє, як Trust Wallet виступає фронтендом, Kiln — API-посередником, а смарт-контракти сховищ Morpho забезпечують фактичне зберігання активів і генерацію прибутковості.

Ситуація з Trust Wallet і Kiln показує, що залежність від сторонніх API для стейкінгу й Earn-сервісів робить користувачів уразливими. Методи атак стають дедалі витонченішими: лише за першу половину 2025 року хакерами було викрадено понад $3 млрд. Експлойти смарт-контрактів, фішинг, включно з дрейнерами, і компрометація API особливо актуальні зараз. Ми рекомендуємо максимально обережний підхід навіть до найбільш авторитетних рішень.

Інцидент виявив критичні ризики інфраструктурної залежності, коли єдина точка відмови у провайдерів API може спричинити каскадні збої по всій екосистемі. Провали комунікацій під час криз серйозно підривають довіру користувачів і впевненість у надійності платформ. Найбільше занепокоєння викликає те, що компрометація API стає новим фронтиром загроз для криптобезпеки. Хакери націлюються на взаємопов’язану мережу сервісів, яка забезпечує роботу всього сучасного DeFi.

Рекомендації користувачам та індустрії

Слід незалежно перевіряти баланси за допомогою блокчейн-оглядачів, таких як Etherscan чи DeBank, щоб мати точне уявлення про реальні активи. Під час тимчасових збоїв інтерфейсу важливо зберігати спокій, не робити поспішних і необдуманих дій. Розміщуйте активи у кількох провайдерів стейкінгу, виявляйте особливу обережність при розміщенні великих сум у сторонніх сервісів.

Криптоіндустрії необхідно вдосконалити протоколи кризових комунікацій для підтримки довіри користувачів у критичні моменти. Запровадження надійної API-інфраструктури допоможе запобігати ефекту доміно в усій екосистемі. Формування прозорих рамок компенсацій до інцидентів дозволить платформам реагувати ефективніше у випадку крадіжки коштів. Крім того, підвищення частоти й глибини аудитів безпеки для критичних інфраструктурних провайдерів, таких як Kiln, стає обов’язковим у міру ускладнення взаємозв’язків у DeFi.

Висновок

Хоча користувацькі кошти, ймовірно, залишаються у безпеці на ончейні, інцидент оголив небезпечні вразливості у взаємопов’язаній мережі криптосервісів. Недостатня прозорість комунікацій із боку ключових гравців, таких як Trust Wallet, у подібних ситуаціях підриває базову довіру, необхідну для масового прийняття криптовалют.

У міру дозрівання криптоекосистеми такі інциденти підкреслюють нагальну потребу у більш суворих практиках безпеки, прозорих протоколах комунікацій і механізмах захисту користувачів.

«Ефект доміно від компрометацій API, як у випадку з Kiln, показує, що сервіс безпечний рівно настільки, наскільки міцна його найслабша ланка. Платформи зобов’язані не лише захищати власні системи, а й гарантувати, що пов’язані з ними сторонні сервіси відповідають таким самим суворим стандартам безпеки». — Команда BitHide.

Щоб не хвилюватися про збереження криптоактивів свого бізнесу, використовуйте рішення, розроблені спеціально для компаній. Замовте демо та дізнайтеся, як некастодіальний криптогаманець BitHide допоможе вашому бізнесу працювати з криптовалютою безпечно й ефективно.

Оновлення від 11.09.2025

Ситуація з Earn вирішилася. Сьогодні Kiln опублікували офіційну заяву: усі їхні сервіси повністю відновлені й знову доступні. Абсолютно позитивний фінал, але для бізнесу це важливе нагадування — завжди перевіряйте, з яким API-партнером ви працюєте. Навіть надійні компанії можуть зіткнутися зі зламами чи вразливостями.

Для наших клієнтів це особливо актуально: ми також маємо API-інтеграції, але передбачили захист від подібних ризиків. Навіть якщо гіпотетично BitHide буде зламано, ваші гаманці залишаться у безпеці. Вони розміщуються на ваших серверах, а приватні ключі є лише у вас. Це виключає додаткові ризики з боку третіх сервісів.

А для користувачів загалом — пам’ятайте: злами трапляються навіть у компаній із високою репутацією. В історії вже були FTX, Bybit, Atomic Wallet, а тепер і Kiln. Завжди будьте обережні та робіть власне дослідження (DYOR). У крипті ваша безпека насамперед залежить від вашої уважності.