Trust Wallet Hack: $7 Millionen Schaden und möglicher Insider-Beteiligung
Der Anbieter von Krypto-Wallets, Trust Wallet, hat einen Sicherheitsvorfall bestätigt, der eine bestimmte Version seiner Browser-Erweiterung betrifft. Nutzer berichteten, dass innerhalb kurzer Zeit Gelder aus ihren Wallets abgezogen wurden.
Plötzliche Wallet-Abflüsse
Der Vorfall wurde erstmals von dem On-Chain-Ermittler ZachXBT öffentlich gemacht, der eine Warnung herausgab, dass mehrere Trust Wallet-Nutzer unautorisierte Abflüsse von ihren Adressen erlebten. Die Berichte fielen mit einem kürzlichen Update der Trust Wallet Chrome-Erweiterung zusammen.
Das Blockchain-Sicherheitsunternehmen SlowMist bestätigte eine Sicherheitslücke in der Version 2.68 der Trust Wallet Browser-Erweiterung und riet Nutzern, die Erweiterung sofort zu deaktivieren und auf Version 2.69 im offiziellen Chrome Web Store zu aktualisieren.
Nach ersten Erkenntnissen von SlowMist könnte es sich um einen Supply-Chain-Angriff handeln, bei dem bösartiger Code in die Erweiterung eingeschleust wurde. Dies könnte es Angreifern ermöglicht haben, die Seed-Phrasen der Nutzer zu exfiltrieren, wenn die Wallet entsperrt war, und sie an eine bösartige Website zu übertragen.
Schätzungen zufolge sind Hunderte von Wallets betroffen. Trust Wallet bestätigte den Vorfall und erklärte, dass nur die Version 2.68 der Browser-Erweiterung betroffen sei. Mobile Nutzer und andere Versionen der Browser-Erweiterung seien nicht betroffen. Nutzern, die noch nicht aktualisiert haben, wurde geraten, die Erweiterung nicht zu öffnen, bis das Update abgeschlossen ist.
ZachXBT teilte mit, dass betroffene Nutzer entschädigt werden sollen.
Reaktion von CZ
Der Gründer von Binance und Eigentümer von Trust Wallet, Changpeng "CZ" Zhao, äußerte sich ebenfalls öffentlich zu dem Vorfall und erklärte, dass Trust Wallet die Verluste im Zusammenhang mit dem Vorfall decken werde. Er schätzte, dass etwa $7 Millionen betroffen seien und bezeichnete den Vorfall als Hack. CZ deutete auch auf eine mögliche Insider-Beteiligung hin, was bedeuten könnte, dass der Vorfall internes Wissen oder Zugang beinhaltete.
Der Vorfall verstärkt die wachsenden Bedenken hinsichtlich der Sicherheit von browserbasierten Wallets, insbesondere da Supply-Chain-Angriffe und bösartige Updates zunehmend als Vektor für Krypto-Diebstahl genutzt werden.
Der Trust Wallet Vorfall ereignet sich inmitten eines allgemeinen Anstiegs von hochkarätigen Exploits, Hacks und Phishing-Kampagnen im Kryptosektor. Das Blockchain-Analyseunternehmen Chainalysis schätzt, dass von Januar bis Anfang Dezember über $3,4 Milliarden in Kryptowährungen gestohlen wurden, etwas mehr als die $3,38 Milliarden im gleichen Zeitraum des Vorjahres. Interessanterweise haben Kompromittierungen im Zusammenhang mit persönlichen Wallets in den letzten Jahren erheblich zugenommen. Der Anteil stieg von nur 7,3 % des insgesamt gestohlenen Wertes im Jahr 2022 auf 44 % im Jahr 2024.
