Op 25 december meldden meerdere cryptocurrency-gebruikers snelle, ongeautoriseerde opnames vanuit de Trust Wallet-browserextensie, wat een onmiddellijke community-waarschuwing veroorzaakte. Initiële meldingen kwamen via on-chain-onderzoeker ZachXBT, die binnen een tijdvenster van twee uur honderden gecompromitteerde adressen over EVM-compatibele ketens, Bitcoin en Solana markeerde. De plotselinge toename van gemelde verliezen— aanvankelijk geschat op meer dan $6 miljoen—leidde tot urgente waarschuwingen op Telegram en X, waarin alle gebruikers werden opgeroepen om goedkeuringen in te trekken en fondsen op te nemen.

Gemeenschapsonderzoekers identificeerden snel de Trust Wallet Chrome-extensie versie 2.68 als een gemeenschappelijke deler. Een onderzoek naar de JavaScript-bestanden van de extensie onthulde onverklaarbare toevoegingen in “4482.js” die niet vermeld stonden in de officiële release-opmerkingen. Verdachte codefragmenten vermomd als analytics-functies konden in werkelijkheid seed-zinnen vastleggen, deze doorsturen naar metrics-trustwallet[.]com, en wallets automatisch leegmaken bij het importeren van de seed-zinnen. De kwaadaardige payload werd uitsluitend geactiveerd bij wallet-importgebeurtenissen, waardoor vroege detectie werd vermeden.

Vervolgens toonde follow-the-chain-analyse aan dat meer dan $6 miljoen aan gestolen activa via privacy-mixers en obfuscation-diensten werd omgeleid, wat de intentie van de aanvallers om fondsen snel wit te wassen onderstreepte. Slachtofferadressen varieerden van insider-multisig-accounts, high-value individuele wallets en kleine detailhandelaren, wat de kwetsbaarheid van op browser gebaseerde wallets voor supply-chain-aanvallen onderstreepte. Ook werden afroomtransacties van grote mixers zoals Tornado Cash en Wasabi Wallet waargenomen, wat duidt op gecoördineerde witwasstrategieën.

Na publieke kritiek gaf Trust Wallet een officiële waarschuwing uit waarin een beveiligingsincident werd erkend dat alleen betrekking heeft op extensieversie 2.68. De waarschuwing beveelt aan om de extensie onmiddellijk uit te schakelen, te upgraden naar versie 2.69 vanuit de officiële Chrome Web Store, en seed-phrase-imports in browseromgevingen te vermijden. Mobiele en niet-Chrome-gebruikers zouden niet getroffen zijn. Trust Wallet benadrukte dat de inbreuk geen invloed had op de kern mobiele app of on-chain slimme contracten.

Het incident heeft het debat over self-custody-risico's en operationele beveiliging nieuw leven ingeblazen. Experts benadrukten herhaaldelijk dat sleutelbeheeromgevingen net zo kritisch zijn als cryptografische protocollen, en dat de integriteit van de toeleveringsketen zowel door wallet-providers als browsermarktplaatsen moet worden afgedwongen. Als onmiddellijke voorzorg raadden veiligheidsdeskundigen getroffen gebruikers aan om de resterende activa te migreren naar verse wallets die zijn aangemaakt op veilige, luchtgescheiden apparaten, alle dApp-toestemmingen in te trekken en het netwerkverkeer te controleren op verdachte interacties.

Na het incident is de roep om gestandaardiseerde extensie-vetting, transparante wijzigingslogs en onafhankelijke audits luider geworden. Blockchain-beveiligingsbedrijven en open-source auditgroepen werken samen aan tools om afwijkende client-side code in populaire wallet-extensies te detecteren. Voor nu blijft het Trust Wallet-incident een duidelijk voorbeeld van hoe kwetsbaarheden in de toeleveringsketen de belofte van zelfsoevereine controle over activa kunnen ondermijnen, en spoort de gemeenschap aan om end-to-end beveiliging in wallet-ontwerp en -distributie voorop te stellen.