Trust Wallet hat bestätigt, dass etwa 7 Millionen US‑Dollar in Kryptowährungen über ein kompromittiertes Browser-Extension-Update gestohlen wurden.
Der Vorfall betraf ausschließlich Version 2.68 der Chrome-Erweiterung, die am 24. Dezember veröffentlicht wurde.
Nutzer der mobilen Wallet blieben nach Angaben des Unternehmens unbeeinträchtigt.
Changpeng Zhao, Gründer von Binance, dem Eigentümer von Trust Wallet, erklärte, dass die Wallet alle betroffenen Nutzer entschädigen werde.
„Bisher sind 7 Mio. $ von diesem Hack betroffen. Trust Wallet wird das übernehmen. Nutzer-Gelder sind SAFU“, schrieb Zhao auf X.
Was ist passiert
Der Blockchain-Ermittler ZachXBT machte den Vorfall am 25. Dezember erstmals öffentlich, nachdem er Berichte über schnelle Abflüsse von Geldern bei Trust-Wallet-Nutzern erhalten hatte.
Die Verluste traten innerhalb weniger Stunden nach dem Extension-Update auf, was auf eine Supply-Chain-Kompromittierung hindeutet.
Das Sicherheitsunternehmen SlowMist analysierte den schädlichen Code und stellte fest, dass er direkt in den Quellcode von Trust Wallet injiziert wurde, statt über eine kompromittierte Drittanbieter-Bibliothek.
Der Backdoor-Code sammelte die verschlüsselten Seed-Phrasen der Nutzer, sobald die Wallets entsperrt wurden, und sandte die Daten anschließend an eine angreiferkontrollierte Domain, die am 8. Dezember registriert worden war.
Die Analyse von SlowMist zeigt, dass die Angreifer mindestens zwei Wochen vor dem Ausrollen des bösartigen Updates mit den Vorbereitungen begonnen hatten.
Zu den entwendeten Vermögenswerten gehörten Bitcoin, Ethereum und weitere Assets über mehrere Blockchain-Netzwerke hinweg.
Einige einzelne Nutzer meldeten Verluste von über 300.000 US‑Dollar innerhalb weniger Minuten nach dem Wallet-Zugriff.
Trust Wallet forderte die Nutzer umgehend auf, Version 2.68 zu deaktivieren und auf die gepatchte Version 2.69 aus dem offiziellen Chrome Web Store zu aktualisieren.
Lesen Sie auch: Bitcoin's 2019-Like Setup Points To Extended Macro Headwinds, Says Analyst
Warum das wichtig ist
Der Vorfall macht deutlich, dass trotz Branchenbemühungen zur Stärkung der Schutzmechanismen weiterhin anhaltende Sicherheitslücken in browserbasierten Krypto-Wallets bestehen.
Anders als Angriffe, die sich durch Phishing auf einzelne Nutzer richten, kompromittierte dieser Angriff den offiziellen Distributionskanal von Trust Wallet und traf damit Nutzer, die gängige Sicherheitspraktiken befolgten.
Supply-Chain-Angriffe auf Krypto-Infrastruktur haben im Jahr 2024 stark zugenommen.
Das Blockchain-Sicherheitsunternehmen Chainalysis berichtete, dass Kryptodiebstähle bis Anfang Dezember 3,41 Milliarden US‑Dollar überstiegen, verglichen mit 3,38 Milliarden US‑Dollar im gesamten Jahr 2023.
Der Trust-Wallet-Vorfall stellt das zweite größere Sicherheitsproblem für die Browsererweiterung der Wallet dar.
Im Jahr 2023 entdeckte das Sicherheitsteam des Hardware-Wallet-Herstellers Ledger eine kritische Schwachstelle in der Chrome-Erweiterung von Trust Wallet, die die Sicherheit von 256 Bit auf nur 32 Bit Entropie reduzierte.
Ledger-CTO Charles Guillemet erklärte, dass die Schwachstelle aus 2023 es Angreifern hätte ermöglichen können, Wallets ohne jegliche Nutzerinteraktion zu leeren.
Diese Sicherheitslücke wurde identifiziert und behoben, bevor es zu einer groß angelegten Ausnutzung kam.
Der jüngste Vorfall unterstreicht, warum Hardware-Wallets, die private Schlüssel offline speichern, weiterhin die sicherste Option für größere Kryptobestände sind.
Browser-Erweiterungen benötigen umfangreiche Systemberechtigungen und hängen sowohl von der Sicherheit des Erweiterungscodes als auch vom Computer des Nutzers ab, was mehrere potenzielle Angriffsvektoren schafft.
Lesen Sie auch: SHIB Price Defies 5,000% Long-Biased Liquidation Wave