Trust Wallet è stato hackerato a Natale, 7 milioni di dollari sono stati prosciugati

Trust Wallet ha confermato un attacco informatico che ha portato a milioni di dollari di fondi degli utenti a essere prosciugati.

Quello che inizialmente sembrava perdita sparsa di portafogli si è rapidamente indurito in qualcosa di molto più serio: una compromessa confermata della catena di approvvigionamento dell'estensione ufficiale del browser Chrome di Trust Wallet.

Il trucco del portafoglio Christmas Trust

L'incidente risale al 24 dicembre 2025, quando Trust Wallet ha rilasciato la versione 2.68.0 della sua estensione per browser Chrome.

Il primo grande allarme pubblico è arrivato dall'investigatore on-chain ZachXBT, che ha collegato direttamente gli svuotamenti del wallet all'aggiornamento v2.68 mentre i fondi erano ancora in movimento. I suoi avvertimenti hanno contribuito a inquadrare l'incidente come una compromessa di estensione piuttosto che come un errore a livello utente.

In molti casi, i wallet venivano svuotati entro pochi minuti dall'importazione di una frase seed o dall'accesso a un wallet esistente tramite l'estensione.

Il 26 dicembre, la situazione era più chiara e Trust Wallet ha confermato pubblicamente che solo l'estensione browser versione 2.68 era stata interessata.

Sebbene gli utenti mobili non siano stati colpiti, l'azienda ha consigliato a tutti gli utenti dell'estensione di disabilitare immediatamente la versione 2.68 e aggiornare alla versione 2.69 tramite il Chrome Web Store ufficiale.

Cosa è davvero andato storto

Ricercatori e investigatori on-chain hanno descritto l'exploit come un attacco diretto alla supply chain, non phishing e non errore dell'utente.

Secondo molteplici analisi condivise pubblicamente, l'estensione compromessa conteneva un payload JavaScript malevolo incorporato in quello che sembrava essere codice di analisi di routine.

Lo script, spesso citato come un file simile a "4482.js", si spacciava presumibilmente da integrazione in stile PostHog. La sua funzione era semplice e devastante.

Quando gli utenti inserivano o accedevano alla loro frase di recupero, i dati venivano silenziosamente esfiltrati verso infrastrutture controllate dagli attaccanti utilizzando domini che somigliavano molto ai veri endpoint delle metriche Trust Wallet.

Una volta che gli attaccanti avevano la frase seed, non era più necessaria alcuna interazione. Non c'erano approvazioni da ingannare né transazioni da firmare.

Il wallet potrebbe essere ripristinato altrove e scaricato su tutte le blockchain supportate.

È esattamente ciò che hanno osservato gli investigatori, con rapide scansioni multi-chain che hanno coinvolto Bitcoin, le reti EVM, Solana e BNB Chain.

Money trailed to instant exchange services e CEX

Mentre alcuni rapporti hanno indicato circa 2,8 milioni di dollari di scarichi confermati, altri hanno tracciato oltre 4 milioni di dollari che passano attraverso servizi identificati. Trust Wallet ha però confermato che l'impatto totale si è attestato a circa 7 milioni di dollari.

CZ, fondatore di Binance, la cui azienda ha acquisito Trust Wallet nel 2018, ha dichiarato anch'egli che le perdite sono state intorno ai 7 milioni di dollari e ha confermato che gli utenti sarebbero stati interi.

CZ ha inoltre evidenziato la questione più scomoda sollevata dall'incidente: come una build maliziosa sia riuscita a raggiungere il Chrome Web Store con un marchio ufficiale di wallet.

L'analisi on-chain rivela che i fondi rubati vengono trasferiti rapidamente, con una parte significativa indirizzata attraverso servizi di exchange istantaneo e piattaforme centralizzate.

I tracker pubblici citavano flussi verso servizi come ChangeNOW e FixedFloat, così come in centrali come KuCoin e HTX.

Mentre le indagini proseguiscono, Trust Wallet ha avvertito gli utenti di ignorare qualsiasi messaggio che non provenisse dai canali ufficiali di Trust Wallet.