Am 25. Dezember meldeten mehrere Kryptowährungsnutzer schnelle, unautorisierte Abhebungen von ihrer Trust Wallet-Browser-Erweiterung, was eine sofortige Community-Warnung auslöste. Erste Berichte tauchten über den On-Chain-Ermittler ZachXBT auf, der Hunderte kompromittierter Adressen über EVM-kompatible Ketten, Bitcoin und Solana innerhalb eines zweistündigen Fensters markierte. Der plötzliche Anstieg gemeldeter Verluste — zunächst auf über 6 Millionen US-Dollar geschätzt — löste dringende Warnungen auf Telegram und X aus, in denen alle Nutzer dazu aufgefordert wurden, Genehmigungen zu widerrufen und Gelder abzuheben.
Community-Forscher identifizierten rasch die Version 2.68 der Trust Wallet Chrome-Erweiterung als gemeinsamen Nenner. Untersuchungen der JavaScript-Dateien der Erweiterung zeigten unerklärliche Ergänzungen in „4482.js“, die in den offiziellen Versionshinweisen fehlten. Verdächtige Code-Segmente, die als Analytics-Funktionen maskiert waren, konnten Seed-Phrasen erfassen, sie an metrics-trustwallet[.]com übertragen und Wallets nach dem Import der Seed-Phrase automatisch leeren. Die bösartige Nutzlast wurde nur bei Wallet-Import-Ereignissen aktiviert und entging so einer frühen Erkennung.
Eine anschließende Chain-by-Chain-Analyse verfolgte über 6 Millionen US-Dollar gestohlene Vermögenswerte, die durch Privacy-Mixer und Obfuskationsdienste geschleust wurden, und hob die Absicht der Angreifer hervor, Gelder rasch zu waschen. Die Opferadressen reichten von internen Multisig-Konten, Wallets mit hohem Wert und kleinen Privatanlegern gleichermaßen, was die Verwundbarkeit browserbasierter Wallets gegenüber Lieferkettenangriffen unterstreicht. Zu beobachten waren auch Peel-Transaktionen von großen Mixern wie Tornado Cash und Wasabi Wallet, was auf koordinierte Geldwäsche-Strategien hindeutet.
Nach öffentlicher Prüfung gab Trust Wallet eine offizielle Warnung heraus, die einen Sicherheitsvorfall bestätigte, der ausschließlich die Erweiterung Version 2.68 betraf. Die Warnung empfahl, die Erweiterung sofort zu deaktivieren, auf Version 2.69 aus dem offiziellen Chrome Web Store zu aktualisieren und Seed-Phrase-Importe in Browserumgebungen zu vermeiden. Bei mobilen Nutzern und Nutzern außerhalb von Chrome soll es unberührt geblieben sein. Trust Wallet betonte, dass der Vorfall die Kernmobil-App oder die On-Chain-Smart-Contracts nicht kompromittiert hat.
Der Vorfall hat die Debatte um Risiken der Selbstverwahrung und Betriebssicherheit neu entfacht. Experten betonten, dass Umgebungen für Schlüsselverwaltung ebenso kritisch sind wie kryptographische Protokolle und dass die Integrität der Lieferkette sowohl von Wallet-Anbietern als auch von Browser-Marktplätzen durchgesetzt werden muss. Als unmittelbare Vorsichtsmaßnahme rieten Sicherheitsforscher betroffenen Nutzern, verbleibende Vermögenswerte auf frische Wallets zu migrieren, die auf sicheren, luftdicht isolierten Geräten erstellt wurden, alle dApp-Genehmigungen zu widerrufen und die Netzwerkaktivität auf verdächtige Interaktionen zu überwachen.
Im Nachgang des Angriffs wurden Forderungen nach standardisierten Erweiterungsprüfungen, transparenten Changelogs und unabhängigen Audits lauter. Blockchain-Sicherheitsfirmen und Open-Source-Audit-Gruppen arbeiten an Werkzeugen, um anomalen clientseitigen Code in beliebten Wallet-Erweiterungen zu erkennen. Der Trust Wallet-Vorfall bleibt damit ein deutliches Beispiel dafür, wie Lieferketten-Schwachstellen das Versprechen der Selbstverwahrung von Vermögenswerten untergraben können und die Community dazu aufrufen, End-to-End-Sicherheit bei Wallet-Design und -Verteilung zu priorisieren.
Kommentare (0)