Der 7 Millionen Dollar schwere Hack der Trust Wallet-Erweiterung: Alles, was Sie wissen müssen

Geldbörse vertrauen bestätigt Ein bösartiges Update der offiziellen Chrome-Browsererweiterung führte zum Diebstahl von Nutzergeldern in Höhe von rund 7 Millionen US-Dollar. Betroffen war ausschließlich die Version 2.68 der Erweiterung. Angreifer hatten die Wallet-Seed-Phrasen mithilfe eingebetteten Schadcodes entwendet. Berichten zufolge waren mobile Nutzer und andere Browserversionen nicht betroffen.

Was geschah beim Hack der Trust Wallet-Erweiterung?

Der Vorfall begann am 24. Dezember 2025 mit der Veröffentlichung der Version 2.68.0 der Chrome-Erweiterung von Trust Wallet. Zunächst meldeten Nutzer vereinzelte Verluste. Wallets waren kurz nach dem Zugriff oder Import über die Erweiterung leergeräumt. Was wie Einzelfälle aussah, deutete schnell auf ein größeres Problem hin.

Am Weihnachtstag, On-Chain-Ermittler ZachXBT ausgegeben Eine öffentliche Warnung, während die gestohlenen Gelder noch in der Blockchain transferiert wurden. Er brachte die Wallet-Abflüsse direkt mit dem Update auf Version 2.68 in Verbindung. Seine Analyse trug dazu bei, festzustellen, dass es sich nicht um einen Benutzerfehler oder Phishing handelte, sondern um eine kompromittierte Browsererweiterung.

Trust Wallet bestätigte den Sicherheitsverstoß am 26. Dezember. Das Unternehmen gab an, dass nur Version 2.68 betroffen sei und riet Nutzern dringend, umgehend auf Version 2.69 zu aktualisieren. Laut Eintrag im Chrome Web Store hat die Chrome-Erweiterung rund eine Million Nutzer.

Trust Wallet bestätigte später, dass digitale Vermögenswerte im Wert von rund 7 Millionen Dollar über mehrere Blockchains hinweg gestohlen wurden.

Welche Nutzer waren betroffen?

Ausschließlich Nutzer, die vor dem 26. Dezember um 11:00 Uhr UTC die Chrome-Erweiterung Trust Wallet Version 2.68 installiert oder sich dort angemeldet hatten, waren gefährdet.

Laut Trust Wallet und Sicherheitsforschern:

• Nutzer der mobilen App waren nicht betroffen.
• Andere Versionen von Browsererweiterungen waren nicht betroffen.
• Über Version 2.68 aufgerufene Wallets könnten vollständig kompromittiert sein.

In vielen Fällen wurden Wallets innerhalb weniger Minuten nach dem Entsperren der Erweiterung oder dem Importieren einer Seed-Phrase geleert. Hunderte von Wallets waren betroffen, darunter Bitcoin-, Ethereum- und Solana-Adressen.

Trust Wallet-CEO Eowyn Chen bestätigte, dass Benutzer, die sich während des betroffenen Zeitraums eingeloggt haben, davon ausgehen sollten, dass ihre Wallets kompromittiert wurden und neue erstellen sollten.

Wie funktionierte der Schadcode?

Laut Blockchain-Sicherheitsunternehmen slowmistDer Angriff wurde nicht durch eine bösartige Drittanbieterbibliothek verursacht. Stattdessen modifizierte der Angreifer direkt den Erweiterungscode von Trust Wallet. Die bösartige Logik war in die Analysekomponente der Erweiterung eingebettet.

Entdecken Sie vielversprechende Projekte...

Vielversprechende Projekte...

(Werbung)

Artikel wird fortgesetzt...

So funktionierte es:

• Der Code durchlief alle in der Erweiterung gespeicherten Wallets.
• Dies löste für jede Wallet eine Anfrage nach einer Wiederherstellungsphrase aus.
• Beim Entsperren der Wallet wurde die verschlüsselte Seed-Phrase entschlüsselt.
• Die entschlüsselte Mnemonik wurde an einen vom Angreifer kontrollierten Server gesendet.

Die Daten wurden an api.metrics-trustwallet[.]com exfiltriert. Die Domain wurde am 8. Dezember 2025 registriert. Anfragen an den Server begannen am 21. Dezember, Tage vor der Veröffentlichung des schädlichen Updates.

Der Angreifer nutzte eine legitime Open-Source-Analysebibliothek namens posthog-js als Tarnung. Anstatt die Daten an den korrekten Analyseendpunkt zu senden, wurde der Datenverkehr auf den Server des Angreifers umgeleitet.

SlowMist erklärte, dass es sich um eine interne Kompromittierung der Codebasis handele, nicht um eine fehlerhafte Abhängigkeit.

Wie konnte die manipulierte Erweiterung veröffentlicht werden?

Die interne Untersuchung von Trust Wallet deckte einen schwerwiegenden Fehler im Veröffentlichungsprozess auf. Laut CEO Eowyn Chen wurde ein durchgesickerter Chrome Web Store API-Schlüssel verwendet, um die manipulierte Version zu veröffentlichen.

Die manipulierte Erweiterung wurde am 24. Dezember um 12:32 Uhr UTC hochgeladen. Dadurch wurden die normalen internen Prüfungen von Trust Wallet umgangen.

Dies zeigt, dass der Angreifer nicht direkt die Nutzer ausgenutzt hat, sondern die Vertriebsinfrastruktur. Solche Lieferkettenangriffe sind schwerer zu erkennen, da die Software offiziell und vertrauenswürdig erscheint.

Wie viel wurde gestohlen und wohin ist das Geld geflossen?

Trust Wallet und unabhängige Forscher schätzen die Gesamtverluste auf rund 7 Millionen US-Dollar.

Aufschlüsselung der bekannten gestohlenen Vermögenswerte:

• Etwa 3 Millionen Dollar Bitcoin
• Mehr als 3 Millionen US-Dollar in Ethereum
• Kleinere Mengen in Solana und andere Vermögenswerte

Laut einer PeckShield und ZachXBT, die gestohlenen Gelder wurden schnell gewaschen.

Zu den wichtigsten Bewegungen gehören:

• Rund 3.3 Millionen Dollar wurden an ChangeNOW gespendet.
• Etwa 340,000 US-Dollar wurden an FixedFloat überwiesen.
• Rund 447,000 US-Dollar wurden an KuCoin überwiesen.

Mehr als vier Millionen Dollar flossen über zentralisierte Börsen. Zum Zeitpunkt der letzten Aktualisierung befanden sich noch etwa 2.8 Millionen Dollar in Wallets, die vom Angreifer kontrolliert wurden.

Dieses Muster ähnelt anderen Fällen von Wallet-Kompromittierung, bei denen Angreifer Instant-Swap-Dienste und Bridges nutzen, um die Rückverfolgbarkeit zu verringern.

Reaktions- und Entschädigungsplan von Trust Wallet

Trust Wallet hat umgehend ein Update veröffentlicht. Version 2.69 wurde am 25. Dezember freigegeben, um den Schadcode zu entfernen. Nutzer wurden dringend gebeten, Version 2.68 sofort zu deaktivieren.

Das Unternehmen führte außerdem ein formelles Vergütungsprogramm ein.

Betroffene Nutzer können Ansprüche über ein offizielles Supportformular auf der Website von Trust WalletDer Prozess erfordert:

• E-Mail-Adresse
• Land des Wohnsitzes
• Kompromittierte Wallet-Adressen
• Angreifer empfängt Adressen
• Relevante Transaktions-Hashes

Trust Wallet erklärte, dass jeder Anspruch einzeln geprüft werde.

„Wir arbeiten rund um die Uhr an der endgültigen Festlegung der Details des Entschädigungsverfahrens, und jeder Fall erfordert eine sorgfältige Überprüfung, um Genauigkeit und Sicherheit zu gewährleisten“, so das Unternehmen.

Changpeng Zhao, Mitbegründer und ehemaliger CEO von Binance, das Trust Wallet im Jahr 2018 übernommen hat, bestätigte, dass die Verluste gedeckt werden.

Warum dieser Hack für die Sicherheit Ihrer Wallet relevant ist

Dieser Vorfall verdeutlicht ein wiederkehrendes Risiko im Kryptobereich. Selbst Wallets ohne Verwahrung durch Dritte sind auf Software-Vertriebskanäle angewiesen. Wenn diese Kanäle ausfallen, können Nutzer ihr gesamtes Guthaben verlieren.

Der Hack von Trust Wallet folgt einem branchenweiten Muster. Anfang des Jahres gab Coinbase bekannt, nach einem anderen Datenleck, das mit bestochenen Supportmitarbeitern in Indien in Verbindung stand, mehr als 400 Millionen US-Dollar zurückzuzahlen.

Unterschiedliche Angriffsmethoden, gleiches Ergebnis. Vertrauensannahmen brechen an den Rändern.

Für die Nutzer werden dadurch grundlegende Sicherheitsregeln gestärkt:

• Behandeln Sie Browsererweiterungen als risikoreiche Software.
• Aktualisieren Sie umgehend, sobald Fehlerbehebungen veröffentlicht werden.
• Sichern Sie Ihre Gelder, wenn der Verdacht besteht, dass eine Wallet kompromittiert wurde.
• Niemals exponierte Saatgutphrasen wiederverwenden

Für Wallet-Anbieter liegt die Lehre in der Sicherheit von Releases. API-Schlüssel, Build-Pipelines und Zugangsdaten für den Speicher sind nun bevorzugte Angriffsziele.

Fazit

Der Hack der Trust Wallet-Erweiterung, bei dem 7 Millionen US-Dollar erbeutet wurden, war auf eine Kompromittierung der Lieferkette und nicht auf einen Benutzerfehler zurückzuführen. Schadcode in Version 2.68 der Chrome-Erweiterung sammelte Seed-Phrasen ein und plünderte Wallets auf mehreren Blockchains. 

Rust Wallet reagierte, indem die betroffene Version entfernt, ein Fix veröffentlicht und eine vollständige Rückerstattung zugesagt wurde. Der Vorfall verdeutlicht, wie Browsererweiterungen weiterhin eine kritische Angriffsfläche im Kryptobereich darstellen und warum sowohl Nutzer als auch Entwickler die Sicherheit der Verteilung genauso ernst nehmen müssen wie die Verwaltung privater Schlüssel.

Ressourcen

1. Trust Wallet auf XAnkündigung vom 26. Dezember

2. Slowmist-Beitrag auf XBericht über die Sicherheitslücke in Trust Wallet

3. PeckShield-Beitrag zu X: Ausnutzung der Trust Wallet-Schwachstelle