Trust Wallet heeft bevestigd dat er ongeveer $7 miljoen aan cryptovaluta is gestolen via een gecompromitteerde update van een browserextensie, zie stolen through a compromised browser extension update.
De inbreuk trof alleen versie 2.68 van de Chrome-extensie, die op 24 december is uitgebracht, zie affected en released.
Volgens het bedrijf bleven gebruikers van de mobiele wallet buiten schot.
Changpeng Zhao, oprichter van Binance, het moederbedrijf van Trust Wallet, zei dat de wallet alle getroffen gebruikers zal compenseren.
„Tot nu toe is $7 miljoen geraakt door deze hack. Trust Wallet draait ervoor op. Gebruikersfondsen zijn SAFU”, schreef Zhao op X.
Wat er is gebeurd
Blockchain-onderzoeker ZachXBT signaleerde het incident op 25 december voor het eerst, nadat hij meldingen kreeg van snelle leegloop van tegoeden bij Trust Wallet-gebruikers.
De verliezen deden zich voor binnen enkele uren na de extensie-update, wat wijst op een supply‑chain‑compromittering.
Beveiligingsbedrijf SlowMist analyseerde de schadelijke code en ontdekte dat die direct in de broncode van Trust Wallet was geïnjecteerd, in plaats van via een gecompromitteerde externe bibliotheek.
De backdoor-code verzamelde de versleutelde seed phrases van gebruikers zodra wallets werden ontgrendeld en verstuurde de gegevens vervolgens naar een domein onder controle van de aanvaller, dat op 8 december was geregistreerd.
Uit de analyse van SlowMist blijkt dat de aanvallers minstens twee weken voor de uitrol van de kwaadaardige update met de voorbereidingen zijn begonnen.
De gestolen tegoeden bestonden onder meer uit Bitcoin, Ethereum en assets op meerdere blockchainnetwerken.
Sommige individuele gebruikers meldden verliezen van meer dan $300.000 binnen enkele minuten na het openen van hun wallet.
Trust Wallet riep gebruikers direct op om versie 2.68 uit te schakelen en te upgraden naar de gepatchte versie 2.69 via de officiële Chrome Web Store.
Lees ook: Bitcoin's 2019-Like Setup Points To Extended Macro Headwinds, Says Analyst
Waarom het belangrijk is
Het incident benadrukt aanhoudende beveiligingskwetsbaarheden in browsergebaseerde cryptowallets, ondanks inspanningen in de sector om de bescherming te versterken.
In tegenstelling tot aanvallen die individuele gebruikers via phishing treffen, drong deze aanval door in het officiële distributiekanaal van Trust Wallet, waardoor ook gebruikers werden geraakt die goede beveiligingspraktijken volgden.
Supply‑chain‑aanvallen op cryptoinfrastructuur zijn in 2024 sterk toegenomen.
Blockchainbeveiligingsbedrijf Chainalysis reported dat cryptodiefstal tot begin december meer dan $3,41 miljard bedroeg, vergeleken met $3,38 miljard in heel 2023.
De Trust Wallet‑inbreuk is het tweede grote beveiligingsincident voor de browserextensie van de wallet.
In 2023 ontdekte het beveiligingsteam van hardware wallet-fabrikant Ledger een kritieke kwetsbaarheid in de Chrome-extensie van Trust Wallet, die de veiligheid verzwakte van 256 bits tot slechts 32 bits entropie.
Ledger‑CTO Charles Guillemet zei dat het lek uit 2023 aanvallers in staat had kunnen stellen wallets leeg te trekken zonder enige interactie van de gebruiker.
Die kwetsbaarheid werd geïdentificeerd en verholpen voordat er grootschalige uitbuiting plaatsvond.
Het laatste incident onderstreept waarom hardware wallets, die privésleutels offline opslaan, de veiligste optie blijven voor grote cryptobezittingen.
Browserextensies vereisen uitgebreide systeemrechten en zijn afhankelijk van de veiligheid van zowel de extensiecode als de computer van de gebruiker, wat meerdere potentiële aanvalsvectoren creëert.
Lees ook: SHIB Price Defies 5,000% Long-Biased Liquidation Wave