Trust Wallet Gehackt: Wat Cryptogebruikers Nu Moeten Doen

Trust Wallet zegt dat een "beveiligingsincident" slechts één deel van zijn productstack trof: de Chrome-browserextensie versie 2.68. Als je alleen een mobiele gebruiker bent, zegt het bedrijf dat je niet wordt getroffen. Als je een andere extensieversie gebruikt, zegt het bedrijf dat je ook niet wordt getroffen. Het probleem is, volgens de eigen bewoording van Trust Wallet, strikt afgebakend, ook al voelt de nasleep niet zo aan wanneer je naar een leeggemaakt adres staart.

De eerste publieke waarschuwing kwam op 25 december via on-chain onderzoeker ZachXBT, die een Telegram-waarschuwing plaatste dat "een aantal Trust Wallet-gebruikers heeft gemeld dat gelden in de afgelopen paar uur uit portemonnee-adressen zijn weggesluisd."

Hij benadrukte dat "de exacte grondoorzaak nog niet is vastgesteld," en wees vervolgens op een ongemakkelijk toeval: "de Trust Wallet Chrome-extensie heeft gisteren een nieuwe update uitgebracht." In hetzelfde bericht vroeg hij slachtoffers om hem een DM te sturen op X zodat hij "de lijst met diefstaladressen hieronder kan bijwerken naarmate ik meer verifieer," en begon hij vermeende diefstaladressen op meerdere chains te publiceren. Zijn lijst bevatte meerdere EVM-adressen en een Solana-adres.

Trust Wallet Bevestigt De Hack

Het portemonnee-bedrijf bevestigde het incident later op X. "We hebben een beveiligingsincident geïdentificeerd dat alleen Trust Wallet Browser Extension versie 2.68 treft. Gebruikers met Browser Extension 2.68 moeten deze uitschakelen en upgraden naar 2.69," schreef het bedrijf, met een link naar de officiële Chrome Web Store-vermelding.

Het voegde eraan toe: "Let op: Alleen-mobiele gebruikers en alle andere browserextensieversies worden niet getroffen." Het bericht sloot af met het soort zin dat elk beveiligingsteam vroeg of laat typt: "We begrijpen hoe zorgwekkend dit is en ons team werkt actief aan het probleem. We blijven updates delen zodra mogelijk."

Vervolgens werd de richtlijn dringender en specifieker. Trust Wallet waarschuwde gebruikers die niet hadden geüpdatet naar 2.69: "open de Browser Extension alsjeblieft niet totdat je hebt geüpdatet. Dit kan helpen om de beveiliging van je portemonnee te waarborgen en verdere problemen te voorkomen."

In een vervolg schetste het een stapsgewijze handleiding die neerkomt op: open de extensie niet, ga naar de extensiepagina van Chrome voor Trust Wallet, schakel deze uit als deze nog aan staat, schakel Ontwikkelaarsmodus in, klik op "Update" en bevestig dat je op versie 2.69 zit voordat je iets anders doet. Het is niet glamoureus, maar het is uitvoerbaar, en dat is wat telt wanneer je in incidentmodus bent.

Terwijl de beweringen en tegenbeweringen rondzwierven, gaf cybersecuritybedrijf PeckShield een vroeg bedrag aan de schade. "De Trust Wallet-exploit heeft >$6 miljoen aan cryptovaluta van slachtoffers weggesluisd," schreef PeckShield, en voegde toe dat hoewel ongeveer "~$2,8 miljoen van de gestolen fondsen in de portemonnees van de hacker blijven (Bitcoin/EVM/Solana), het grootste deel – >$4 miljoen aan cryptovaluta – naar CEX'en is gestuurd," met een verdeling van "~$3,3 miljoen naar ChangeNOW, ~$340.000 naar Fixed Float, & ~$447.000 naar Kucoin."

Nog een drukpunt kwam snel naar voren: compensatie. ZachXBT zei: "Ik heb momenteel veel bezorgde slachtoffers die mij via DM contacteren, dus kan jullie team alsjeblieft verduidelijken of jullie compensatie zullen aanbieden voor Trust Wallet Browser Extension-gebruikers." Trust Wallet antwoordde daar niet direct op in het openbaar. In plaats daarvan antwoordde het dat zijn klantenserviceteam al contact had met getroffen gebruikers over de volgende stappen en verwees mensen naar zijn supportkanaal.

Dus wat moeten gebruikers nu doen, in duidelijke taal? Als je extensieversie 2.68 gebruikt, is de instructie van Trust Wallet om te stoppen met het gebruik ervan zoals het is: schakel het uit en upgrade naar 2.69 voordat je het weer opent. Als je denkt dat je bent getroffen, verwijst het bedrijf gebruikers naar ondersteuning, terwijl onafhankelijk onderzoeker ZachXBT vraagt om rapporten om diefstalsstromen in kaart te brengen.

UPDATE: Binance-oprichter Changpeng Zhao bevestigde via X dat gebruikers gecompenseerd zullen worden voor de hack. "Tot nu toe is $7 miljoen getroffen door deze hack. Trust Wallet zal dit dekken. Gebruikersgelden zijn SAFU. We waarderen je begrip voor eventuele veroorzaakte ongemakken. Het team onderzoekt nog steeds hoe hackers een nieuwe versie konden indienen," schreef Zhao vandaag.

Op het moment van publicatie bedroeg de totale crypto market cap $2,95 biljoen.