Trust Wallet verpflichtet sich laut CZ, 7 Mio. $ zu erstatten, die bei Hack am Weihnachtstag verloren gingen

• Trust Wallet Hack entwendete 7 Mio. $ über eine Schwachstelle in der Browsererweiterung, wobei die Angreifer den Angriff Wochen im Voraus planten.
• Binance bestätigte Rückerstattungen für alle Opfer, während Experten auf möglichen Insider-Zugang hinter der Ausnutzung hinwiesen.
• Der Hack legte Lücken bei Update-Überprüfungen offen, da gestohlene Gelder und Benutzerdaten Hunderte von Wallets betrafen.

Ein Trust Wallet Hack legte ernsthafte Sicherheitslücken offen, nachdem Angreifer während der Weihnachtsferien unbemerkt fast 7 Millionen $ von Benutzern gestohlen hatten. Der Angriff richtete sich über eine kompromittierte Browsererweiterung gegen Desktop-Benutzer und blieb tagelang unbemerkt. Ermittler enthüllten später, dass der Vorgang Wochen im Voraus geplant war, was ihn zu einem kalkulierten Angriff statt eines opportunistischen Zugriffs machte.

Trust Wallet erklärte, dass der Angriff auf die Browsererweiterung Version 2.68 beschränkt war und nicht ihre mobilen Apps betraf. Das Unternehmen empfahl Benutzern, die App auf Version 2.89 zu aktualisieren, die Sicherheitskorrekturen enthält, um zu verhindern, dass die Ausnutzung funktioniert. Das zu Binance gehörende Trust Wallet ist eines der größten Krypto-Wallets mit mehr als 220 Millionen Benutzern weltweit.

Zhao bestätigt Benutzer-Rückerstattungen nach Trust Wallet Hack

Binance-Mitgründer Changpeng Zhao äußerte sich nach Berichten über einen Angriff öffentlich zum Hack. Trust Wallet werde alle betroffenen Benutzer zurückerstatten und die Verluste übernehmen, sagte er. Zhao räumte ein, dass der Hack eine sehr ernsthafte Sicherheitsverletzung war und dass der Wiederaufbau des Benutzervertrauens in einer Zeit, in der die Kryptosicherheit zunehmend unter die Lupe genommen wird, entscheidend sei.

Weitere Analysen ergaben, dass der Trust Wallet Hack seit Anfang Dezember aktiv im Gange war. Yu Xian, Mitgründer der Blockchain-Sicherheitsfirma SlowMist, enthüllte, dass die Ausnutzung erst am 08.12. durchgeführt wurde. Am 22.12. gelang es ihnen, eine schädliche Hintertür in die Erweiterung einzuschleusen. Das Geld wurde dann am ersten Weihnachtstag abgezogen, wobei der Angriff schließlich dort entdeckt wurde.

Quelle: COS

Der bösartige Code entleerte nicht nur digitale Vermögenswerte. Ermittler fanden heraus, dass der Code des bösartigen Angriffs auch persönliche Benutzerinformationen sammelte, die auf von den Angreifern kontrollierten Servern veröffentlicht wurden. Laut ZachXBT, einem Blockchain-Forscher, betraf der Angriff Hunderte von Benutzern, was darauf hindeutet, dass er nicht nur eine kleine Anzahl von Opfern betraf.

Siehe auch: Upbit Hack: 1,77 Mio. $ an gestohlenen Vermögenswerten eingefroren, während sich die Untersuchung ausweitet

Die Branche hat ernsthafte Bedenken hinsichtlich der Durchführung der Ausnutzung. Der Angreifer konnte eine modifizierte Version der Erweiterung über offizielle Vertriebsplattformen durchschleusen. Dies ließ einige Fachleute an der Möglichkeit eines internen Zugangs als Faktor zweifeln. 

Experten weisen auf mögliche Insider-Rolle bei Trust Wallet-Angriff hin

Anndy Lian, der als zwischenstaatlicher Blockchain-Berater tätig ist, beschrieb das Ereignis als sehr eigenartig und glaubte, dass eine hohe Wahrscheinlichkeit einer Insider-Beteiligung bestand. Zhao behauptete anschließend, dass der Hack höchstwahrscheinlich mit Insider-Informationen durchgeführt wurde.

Slowmist Xian stellte fest, dass der Angreifer auch ein tiefes Verständnis des Quellcodes von Trust Wallet zeigte. Diese Vertrautheit diente auch dazu, der Hintertür Legitimität zu verleihen und so eine frühzeitige Entdeckung zu vermeiden. Sicherheitsexperten sagen, dass das Problem Schwachstellen in internen Überprüfungsprozessen und Systemen widerspiegelt, die Updates genehmigen.

Der Trust Wallet Hack ist einer von mehreren Kryptowährung-Wallet-Diebstählen im Jahr 2025. Personal-Wallet-Hacks haben laut Chainalysis etwa 37 % des Wertes ausgemacht, der in diesem Jahr bei gestohlener Kryptowährung verloren ging, ohne den 1,4 Milliarden $ Bybit-Hack im Februar. Obwohl die Trust Wallet-Verluste nicht so groß waren wie bei einigen früheren Angriffen, weisen sie erneut auf anhaltende Risiken hin.

Quelle: Chainalysis

Branchenführer warnen, dass der Angriff als weitere Erinnerung dient, die Kryptosicherheit kontinuierlich zu überwachen. Star Xu, der Gründer von OKX, sagte, dass diese Art von Vorfällen zeigt, dass Sicherheitsarbeit niemals abgeschlossen ist und selbst vertrauenswürdige Plattformen anfällig sein können, wenn nicht die richtigen Vorsichtsmaßnahmen getroffen werden.

Siehe auch: Krypto-Sicherheitsalarm: Binances CZ zielt auf Address Poisoning nach 50 Millionen $ Verlust