Trust Wallet dringt er bij gebruikers op aan om de Google Chrome-extensie bij te werken naar de nieuwste versie, na wat het omschreef als een “veiligheidsincident” dat leidde tot het verlies van ongeveer $ 7 miljoen.
Het probleem, aldus de multi-chain, niet-bewaarbare cryptocurrency portemonnee-service, heeft gevolgen voor versie 2.68. Volgens de Chrome Web Store-vermelding heeft de extensie ongeveer een miljoen gebruikers. Gebruikers wordt geadviseerd zo snel mogelijk te updaten naar versie 2.69.
“We hebben bevestigd dat er ongeveer $7 miljoen is getroffen en we zullen ervoor zorgen dat alle getroffen gebruikers worden terugbetaald”, zei Trust Wallet in een bericht op X. “Het ondersteunen van getroffen gebruikers is onze topprioriteit en we zijn actief bezig met het afronden van het proces om de getroffen gebruikers terug te betalen.”
Trust Wallet dringt er ook bij gebruikers op aan om geen interactie te hebben met berichten die niet afkomstig zijn van de officiële kanalen. Gebruikers die alleen mobiel zijn en alle andere versies van browserextensies worden niet beïnvloed.
Volgens details gedeeld door SlowMist heeft versie 2.68 kwaadaardige code geïntroduceerd die is ontworpen om door alle portemonnees te gaan die in de extensie zijn opgeslagen en om voor elke portemonnee een geheugensteunverzoek te activeren.
“Het gecodeerde geheugensteuntje wordt vervolgens gedecodeerd met behulp van het wachtwoord of passkeyPassword dat is ingevoerd tijdens het ontgrendelen van de portemonnee”, aldus het blockchain-beveiligingsbedrijf. “Eenmaal ontsleuteld, wordt de geheugensteun naar de server van de aanvaller gestuurd, api.metrics-trustwallet(.)com.”
Het domein “metrics-trustwallet(.)com” werd geregistreerd op 8 december 2025, waarbij het eerste verzoek aan “api.metrics-trustwallet(.)com” begon op 21 december 2025.
Uit verdere analyse is gebleken dat de aanvaller gebruik heeft gemaakt van een opensource-analysebibliotheek met de volledige keten, genaamd posthog-js, om gebruikersgegevens van portemonnees te verzamelen.
De digitale activa die tot nu toe zijn leeggemaakt omvatten ongeveer $3 miljoen aan Bitcoin, $431 aan Solana en meer dan $3 miljoen aan Ethereum. De gestolen fondsen zijn via gecentraliseerde uitwisselingen en cross-chain bruggen verplaatst voor het witwassen en ruilen. Volgens een update gedeeld door blockchain-onderzoeker ZachXBT heeft het incident honderden slachtoffers geëist.
“Terwijl ~2,8 miljoen dollar van het gestolen geld in de portemonnee van de hacker zit (Bitcoin/EVM/Solana), is het grootste deel – >4 miljoen dollar aan crypto’s – naar CEX’s (gecentraliseerde uitwisselingen) gestuurd: ~3,3 miljoen dollar naar ChangeNOW, ~340.000 dollar naar FixedFloat en ~447.000 dollar naar KuCoin”, aldus PeckShield.
“Dit achterdeurincident is ontstaan door kwaadwillige wijziging van de broncode binnen de interne codebasis van de Trust Wallet-extensie (analyselogica), en niet door een geïnjecteerde gecompromitteerde afhankelijkheid van derden (bijvoorbeeld een kwaadaardig npm-pakket)”, aldus SlowMist.
“De aanvaller heeft rechtstreeks met de eigen code van de applicatie geknoeid en vervolgens de legitieme PostHog-analysebibliotheek gebruikt als data-exfiltratiekanaal, waardoor analytisch verkeer omgeleid werd naar een door de aanvaller gecontroleerde server.”
Het bedrijf zei dat de mogelijkheid bestaat dat dit het werk is van een natiestatelijke actor, en voegt eraan toe dat de aanvallers mogelijk vóór 8 december 2025 de controle hebben verkregen over Trust Wallet-gerelateerde ontwikkelaarsapparaten of implementatierechten hebben verkregen.
Changpeng Zhao, mede-oprichter van crypto-exchange Binance, eigenaar van het hulpprogramma, liet doorschemeren dat de exploit “hoogstwaarschijnlijk” werd uitgevoerd door een insider, hoewel er geen verder bewijs werd geleverd om de theorie te ondersteunen.
