by Admin |

Overzicht

Trust Wallet bevestigde dat een toeleveringsketen-aanval via een gecompromitteerde update van een Chrome-extensie heeft geleid tot verliezen van ongeveer 8,5 miljoen dollar. Een gelekte API-sleutel van de Google Chrome Web Store maakte het voor aanvallers mogelijk een kwaadaardige versie van de Trust Wallet-browserextensie rechtstreeks in de officiële Web Store te uploaden, waardoor codebeoordeling en beveiligingscontroles konden worden omzeild.

Aanvalsdetails

  • Aanvalsperiode: 24–26 december 2025
  • Extensieversie: 2.68
  • Aantal slachtoffers: 2.520 wallet-adressen
  • Methode: Kwaadaardige code vermomd als analytisch verkeer naar een nep-domein metrics-trustwallet[.]com

Technische Analyse

Categorie van toeleveringsketen-aanval: sleutelcompromis. In tegenstelling tot typische exploits van slimme contracten richtte dit incident zich op het distributiemechanisme. Privé-inloggegevens die werden gebruikt om de extensie te publiceren, werden blootgelegd, waardoor exfiltratiecode in de release-pijplijn kon worden geïnjecteerd. Geen on-chain kwetsbaarheid werd uitgebuit; eindgebruikers werden gericht via vertrouwde infrastructuur.

Reactiemaatregelen

  • Gecompromitteerde API-referenties onmiddellijk ingetrokken.
  • Teruggezet naar veilige extensieversie 2.69.
  • Verbeterd beheer van release-sleutels en multi-factor-authenticatie op implementatiesystemen.
  • Aan alle in aanmerking komende slachtoffers werd een vergoeding aangeboden ter dekking van de volledige verliezen.

Implicaties voor de industrie

Kritieke infrastructuurelementen zoals distributiesleutels vormen een enkel punt van falen. Extensie-gebaseerde wallets moeten een strikte rotatie van referenties toepassen, toezicht houden op uitgeveraccounts, en out-of-band code-signing om soortgelijke risico's te mitigeren. Beveiligingsteams moeten toeleveringsketenvectoren met dezelfde prioriteit beschouwen als audits van slimme contracten.

Gebruikersaanbevelingen

Gebruikers die versie 2.68 hebben geïnstalleerd, moeten ervan uitgaan dat ze compromitteerd zijn, fondsen verplaatsen naar nieuw aangemaakte wallets op een beveiligd apparaat en opnieuw seedzinnen genereren. Verificatie van de extensieversie en bijwerken naar v2.69 of hoger is verplicht. Claims voor vergoeding moeten via officiële Trust Wallet-ondersteuningskanalen worden ingediend.

Reacties (0)

Word VIP-lid
✖

Word lid van onze nieuwsbrief

Abonneer je om de laatste updates, gratis tips en exclusieve aanbiedingen te ontvangen!

✖
Jason is net VIP-lid geworden!
Word lid

Beperkt aanbod

Profiteer nu van 20% korting op het VIP-abonnement!
00:00:00

Krijg korting
✖

Ontvang vandaag een signaal

Een actuele BTC/ETH-signaal uit ons kanaal — gratis.
Bekijk hoe het werkt voordat je naar VIP gaat.

Ga naar het Telegram-kanaal Geen spam — alleen handelsideeën.