Trust Wallet baru sahaja digodam pada Krismas, $7 juta habis

Trust Wallet telah mengesahkan penggodaman yang menyebabkan berjuta-juta dolar dalam dana pengguna disalirkan.

Apa yang pada mulanya kelihatan sebagai kerugian dompet yang bertaburan dengan cepat mengeras menjadi sesuatu yang jauh lebih serius: kompromi rantaian bekalan yang disahkan bagi sambungan penyemak imbas Chrome rasmi Trust Wallet.

Penggodaman Dompet Amanah Krismas

Kejadian itu bermula pada 24 Disember 2025, apabila Trust Wallet mengeluarkan versi 2.68.0 sambungan penyemak imbas Chromenya.

Penggera awam utama pertama datang daripada penyiasat dalam rantaian ZachXBT, yang memautkan longkang dompet terus ke kemas kini v2.68 semasa dana masih bergerak. Amaran beliau membantu merangka kejadian itu sebagai kompromi lanjutan dan bukannya kesilapan peringkat pengguna.

Dalam kebanyakan kes, dompet telah dikosongkan dalam beberapa minit selepas mengimport frasa benih atau mengakses dompet sedia ada melalui sambungan.

Menjelang 26 Disember, gambaran itu lebih jelas, dan Trust Wallet secara terbuka mengesahkan bahawa hanya sambungan penyemak imbas versi 2.68 yang terjejas.

Walaupun pengguna mudah alih tidak terjejas, syarikat itu menasihati semua pengguna sambungan untuk segera melumpuhkan versi 2.68 dan menaik taraf ke versi 2.69 melalui Kedai Web Chrome rasmi.

Apa yang benar-benar salah

Penyelidik dan penyiasat dalam rantaian menggambarkan eksploitasi itu sebagai serangan rantaian bekalan lurus, bukan pancingan data dan bukan kesilapan pengguna.

Menurut pelbagai analisis yang dikongsi secara terbuka, sambungan yang terjejas mengandungi muatan JavaScript berniat jahat yang dibenamkan dalam apa yang kelihatan seperti kod analitik rutin.

Skrip itu, sering dirujuk sebagai fail yang serupa dengan "4482.js," didakwa menyamar sebagai penyepaduan gaya PostHog. Fungsinya mudah dan dahsyat.

Apabila pengguna memasukkan atau mengakses frasa pemulihan mereka, data telah diekstrak secara senyap ke infrastruktur yang dikawal penyerang menggunakan domain yang hampir menyerupai titik akhir metrik Trust Wallet yang sah.

Sebaik sahaja penyerang mempunyai frasa benih, tiada interaksi lanjut diperlukan. Tiada kelulusan untuk menipu dan tiada transaksi untuk ditandatangani.

Dompet boleh dipulihkan di tempat lain dan disalirkan merentasi setiap rantaian blok yang disokong.

Itulah yang diperhatikan oleh penyiasat, dengan sapuan berbilang rantaian pantas menjejaskan Bitcoin, rangkaian EVM, Solana dan BNB Chain.

Wang dikekori ke perkhidmatan pertukaran segera dan CEX

Walaupun beberapa laporan menunjukkan kira-kira $2.8 juta dalam longkang yang disahkan, yang lain menjejaki lebih daripada $4 juta melalui perkhidmatan yang dikenal pasti. Walau bagaimanapun, Trust Wallet telah mengesahkan bahawa jumlah impak berjumlah kira-kira $7 juta.

Pengasas Binance CZ, yang syarikatnya memperoleh Trust Wallet pada 2018, juga menyatakan bahawa kerugian adalah sekitar $7 juta dan mengesahkan bahawa pengguna akan pulih.

CZ juga menyerlahkan isu paling tidak selesa yang dibangkitkan oleh kejadian itu: bagaimana binaan berniat jahat dapat mencapai Kedai Web Chrome di bawah jenama dompet rasmi.

Analisis dalam rantaian mendedahkan bahawa dana yang dicuri dipindahkan dengan cepat, dengan sebahagian besar disalurkan melalui perkhidmatan pertukaran segera dan platform berpusat.

Penjejak awam memetik aliran ke dalam perkhidmatan seperti ChangeNOW dan FixedFloat, serta pertukaran termasuk KuCoin dan HTX.

Semasa siasatan diteruskan, Trust Wallet telah memberi amaran kepada pengguna untuk mengabaikan sebarang mesej yang tidak datang daripada saluran rasmi Trust Wallet.