Trust Wallet is net gehackt met Kerstmis, $7 miljoen leeggezogen

Trust Wallet heeft een hack bevestigd die ertoe leidde dat miljoenen dollars aan gebruikersgeld werden leeggezogen.

Wat aanvankelijk leek op verspreide wallet-verliezen, verhardde zich snel tot iets veel ernstigers: een bevestigde supply chain-compromis van de officiële Chrome-browserextensie van Trust Wallet.

De Christmas Trust Wallet-hack

Het incident gaat terug tot 24 december 2025, toen Trust Wallet versie 2.68.0 van zijn Chrome-browserextensie uitbracht.

Het eerste grote publieke alarm kwam van on-chain onderzoeker ZachXBT, die de portemonnee-afvoer direct koppelde aan de v2.68-update terwijl de fondsen nog in beweging waren. Zijn waarschuwingen hielpen het incident te framen als een extensie-compromis in plaats van een fout op gebruikersniveau.

In veel gevallen werden wallets binnen enkele minuten na het importeren van een seed phrase of het toegang tot een bestaande wallet via de extensie geleegd.

Op 26 december was het beeld duidelijker en bevestigde Trust Wallet publiekelijk dat alleen de browserextensie versie 2.68 werd getroffen.

Hoewel mobiele gebruikers niet werden getroffen, adviseerde het bedrijf alle extensiegebruikers om versie 2.68 onmiddellijk uit te schakelen en via de officiële Chrome Web Store te upgraden naar versie 2.69.

Wat er echt misging

Onderzoekers en on-chain onderzoekers beschreven de exploit als een rechtstreekse supply chain-aanval, geen phishing en geen gebruikersfout.

Volgens meerdere publiekelijk gedeelde analyses bevatte de gecompromitteerde extensie een kwaadaardige JavaScript-payload ingebed in wat leek op routinematige analysecode.

Het script, vaak aangeduid als een bestand vergelijkbaar met "4482.js", deed zich naar verluidt voor als een PostHog-achtige integratie. De functie was eenvoudig en verwoestend.

Wanneer gebruikers hun herstelzin invoerden of openden, werden de gegevens stilletjes geëxfiltreerd naar door aanvallers gecontroleerde infrastructuur met domeinen die sterk leken op legitieme Trust Wallet-metrics-eindpunten.

Zodra aanvallers de zaadzin hadden, was verdere interactie niet nodig. Er waren geen goedkeuringen om te misleiden en geen transacties om te ondertekenen.

De wallet kan elders worden hersteld en leeggezogen worden op elke ondersteunde blockchain.

Dat is precies wat onderzoekers observeerden, met snelle multi-chain sweeps die Bitcoin, EVM-netwerken, Solana en BNB Chain beïnvloedden.

Geld werd overgedragen aan directe wisseldiensten en CEX'en

Hoewel sommige rapporten wezen op ongeveer 2,8 miljoen dollar aan bevestigde afvoeren, registreerden andere meer dan 4 miljoen dollar die door geïdentificeerde diensten gingen. Trust Wallet heeft echter bevestigd dat de totale impact ongeveer 7 miljoen dollar bedroeg.

Binance-oprichter CZ, wiens bedrijf Trust Wallet in 2018 overnam, verklaarde ook dat de verliezen rond de 7 miljoen dollar lagen en bevestigde dat gebruikers volledig zouden worden terugbetaald.

CZ wees ook op het meest ongemakkelijke probleem dat door het incident werd opgeworpen: hoe een kwaadaardige build de Chrome Web Store kon bereiken onder een officieel walletmerk.

On-chain analyse toont aan dat de gestolen gelden snel worden overgemaakt, waarbij een aanzienlijk deel via directe uitwisselingsdiensten en gecentraliseerde platforms wordt geleid.

Publieke trackers noemden stroomverhalen naar diensten zoals ChangeNOW en FixedFloat, evenals beurzen zoals KuCoin en HTX.

Terwijl de onderzoeken doorgaan, heeft Trust Wallet gebruikers gewaarschuwd om alle berichten die niet van officiële Trust Wallet-kanalen afkomstig zijn te negeren.