Trust Wallets bestätigen Lieferkettenangriffe in Höhe von 8,5 Millionen US-Dollar durch geleakte Chrome-API-Schlüssel

by Admin |

Überblick

Trust Wallet bestätigte, dass ein Lieferkettenangriff durch ein kompromittiertes Update der Chrome-Erweiterung Verluste in Höhe von ca. 8,5 Mio. USD verursacht hat. Ein durchgesickter Google Chrome Web Store API-Schlüssel ermöglichte es Angreifern, eine schädliche Version der Trust Wallet-Browsererweiterung direkt in den offiziellen Web Store hochzuladen, wodurch Code-Review und Sicherheitsprüfungen umgangen wurden.

Angriffsdetails

  • Angriffszeitraum: 24. Dezember 2025 – 26. Dezember 2025
  • Erweiterungsversion: 2,68
  • Anzahl der Opfer: 2.520 Wallet-Adressen
  • Methode: Schadcode, der sich als Analytics-Verkehr zu einer gefälschten Domain metrics-trustwallet[.]com tarnt

Technische Analyse

Kategorie des Lieferkettenangriffs: Schlüsselkompromittierung. Im Gegensatz zu typischen Smart-Contract-Sicherheitsvorfällen zielte dieser Vorfall auf den Verteilungsmechanismus ab. Private Anmeldeinformationen, die zum Veröffentlichen der Erweiterung verwendet wurden, wurden offengelegt, wodurch das Injizieren von Exfiltrationscode in die Release-Pipeline ermöglicht wurde. Es wurde keine On-Chain-Schwachstelle ausgenutzt; Endbenutzer wurden über eine vertrauenswürdige Infrastruktur ins Visier genommen.

Reaktionsmaßnahmen

  • Kompromittierte API-Anmeldeinformationen sofort widerrufen.
  • Auf sichere Erweiterungsversion 2,69 zurückgesetzt.
  • Verbesserte Schlüsselverwaltung für Releases sowie Multi-Faktor-Authentifizierung in den Bereitstellungssystemen implementiert.
  • Allen berechtigten Opfern eine Rückerstattung angeboten, die volle Verluste abdeckt.

Branchenimplikationen

Kritische Infrastrukturelemente wie Verteilungsschlüssel stellen einen einzelnen Ausfallpunkt dar. Wallets, die Erweiterungen verwenden, sollten eine strikte Rotation von Anmeldeinformationen, die Überwachung von Publisher-Konten und Out-of-Band-Code-Signierung implementieren, um ähnliche Risiken zu mildern. Sicherheitsteams müssen Lieferketten-Vektoren mit derselben Priorität wie Smart-Contract-Audits berücksichtigen.

Nutzerempfehlungen

Benutzer, die Version 2.68 installiert haben, sollten davon ausgehen, kompromittiert worden zu sein, ihre Gelder auf neue Wallets zu übertragen, die auf einem sicheren Gerät erzeugt wurden, und Seed-Phrasen neu zu generieren. Die Überprüfung der Erweiterungsversion und das Update auf v2.69 oder höher ist verpflichtend. Ansprüche auf Erstattung sollten über offizielle Trust Wallet-Support-Kanäle eingereicht werden.

Kommentare (0)

Werden Sie VIP-Mitglied

Abonnieren Sie unseren Newsletter

Abonnieren Sie, um die neuesten Updates, kostenlose Tipps und exklusive Angebote zu erhalten!

Jason ist gerade VIP-Mitglied geworden!
Teilnehmen

Begrenztes Angebot

Sichern Sie sich 20% Rabatt auf das VIP-Abonnement!
00:00:00

Rabatt erhalten

Erhalten Sie heute ein Signal

Ein aktuelles BTC/ETH-Signal aus unserem Kanal — kostenlos.
Probieren Sie aus, wie es funktioniert, bevor Sie zum VIP wechseln.

Zum Telegram-Kanal wechseln Kein Spam – nur Handelsideen.