Trust Wallet hakkeroitiin jouluna, 7 miljoonaa dollaria kului

Trust Wallet on vahvistanut hakkerointiyrityksen, joka johti miljoonien dollarien käyttäjävarojen tyhjentämiseen.

Aluksi hajanaisilta lompakkomenetyksiltä vaikuttaneet asiat kovettuivat nopeasti vakavammaksi: Trust Walletin virallisen Chrome-selainlaajennuksen vahvistetuksi toimitusketjun kompromissiksi.

Joulun luottolompakon hakkerointi

Tapaus juontaa juurensa 24. joulukuuta 2025, jolloin Trust Wallet julkaisi version 2.68.0 Chrome-selainlaajennuksestaan.

Ensimmäinen suuri julkinen hälytys tuli ketjun sisäiseltä tutkijalta ZachXBT:ltä, joka yhdisti lompakon tyhjennykset suoraan v2.68-päivitykseen varojen ollessa vielä liikkeellä. Hänen varoituksensa auttoivat estämään tapauksen laajennuskompromissina, ei käyttäjätason virheenä.

Monissa tapauksissa lompakot tyhjennettiin minuuteissa siemenlauseen tuomisesta tai olemassa olevaan lompakkoon pääsyyn laajennuksen kautta.

26. joulukuuta mennessä tilanne oli selkeämpi, ja Trust Wallet vahvisti julkisesti, että vain selainlaajennus 2.68 oli vaikutuksen alainen.

Vaikka mobiilikäyttäjät eivät kärsineet, yhtiö neuvoi kaikkia laajennuksen käyttäjiä poistamaan välittömästi version 2.68 käytöstä ja päivittämään version 2.69 virallisen Chrome Web Storen kautta.

Mikä todella meni pieleen

Tutkijat ja ketjun tutkijat kuvasivat hyökkäystä suorana toimitusketjuhyökkäyksenä, ei tietojenkalasteluna eikä käyttäjävirheenä.

Useiden julkisesti jaettujen analyysien mukaan kompromissoitu laajennus sisälsi haitallisen JavaScript-kuorman, joka oli upotettu rutiininomaiseen analytiikkakoodiin.

Käsikirjoitusta, jota usein viitataan tiedostona, joka muistuttaa "4482.js":tä, väitetysti esiintyi PostHog-tyyppisenä integraationa. Sen tehtävä oli yksinkertainen ja tuhoisa.

Kun käyttäjät syöttivät tai käyttivät palautuslausekettaan, data siirrettiin hiljaisesti hyökkääjien hallitsemaan infrastruktuuriin käyttäen domaineja, jotka muistuttivat läheisesti oikeita Trust Wallet -mittarien päätepisteitä.

Kun hyökkääjät saivat siemenlauseen, lisävuorovaikutusta ei tarvittu. Ei ollut hyväksyntöjä huijattavaksi eikä sopimuksia allekirjoitettavaksi.

Lompakko voitaisiin palauttaa muualle ja tyhjentää jokaiseen tuettuun lohkoketjuun.

Juuri näin tutkijat havaitsivat, kun nopeat moniketjuiset sweepit vaikuttivat Bitcoiniin, EVM-verkkoihin, Solanaan ja BNB Chainiin.

Rahat siirtyivät välittömiin vaihtopalveluihin ja CEX-palveluihin

Jotkut raportit viittasivat noin 2,8 miljoonan dollarin arvoiseen vahvistettuun viemäriin, kun taas toiset seurasivat yli 4 miljoonan dollarin kulkemista tunnistettujen palveluiden kautta. Trust Wallet on kuitenkin vahvistanut, että kokonaisvaikutus oli noin 7 miljoonaa dollaria.

Binancen perustaja CZ, jonka yritys osti Trust Walletin vuonna 2018, totesi myös, että tappiot olivat noin 7 miljoonaa dollaria ja vahvisti, että käyttäjät korvataan.

CZ nosti esiin myös tapauksen epämiellyttävimmän asian: miten haitallinen versio pääsi Chrome Web Storeen virallisen lompakkobrändin alla.

On-chain-analyysi paljastaa, että varastetut varat siirretään nopeasti, ja merkittävä osa ohjataan välittömien vaihtopalveluiden ja keskitettyjen alustojen kautta.

Julkiset seurantalaitteet mainitsivat virtaukset palveluihin kuten ChangeNOW ja FixedFloat sekä pörsseihin kuten KuCoin ja HTX.

Tutkimusten jatkuessa Trust Wallet on varoittanut käyttäjiä jättämään huomiotta kaikki viestit, jotka eivät ole tulleet virallisilta Trust Walletin kanavilta.