Trust Wallet onthulde dinsdag dat de tweede versie van de uitbraak van de supply chain van Shai-Hulud (ook bekend als Sha1-Hulud) in november 2025 waarschijnlijk verantwoordelijk was voor de hack van de Google Chrome-extensie, wat uiteindelijk resulteerde in de diefstal van ongeveer $ 8,5 miljoen aan activa.
“Onze ontwikkelaar GitHub-geheimen kwamen aan het licht tijdens de aanval, waardoor de aanvaller toegang kreeg tot de broncode van onze browserextensie en de API-sleutel van de Chrome Web Store (CWS), ” zei het bedrijf in een dinsdag gepubliceerd post-mortem.
“De aanvaller kreeg volledige CWS API-toegang via de gelekte sleutel, waardoor builds rechtstreeks konden worden geüpload zonder het standaard releaseproces van Trust Wallet, waarvoor interne goedkeuring/handmatige beoordeling vereist is.”
Vervolgens zou de aanvaller het domein “metrics-trustwallet(.)com” hebben geregistreerd en een getrojaniseerde versie van de extensie met een achterdeur hebben gepusht die in staat is om portemonnee-memonische zinnen van gebruikers naar het subdomein “api.metrics-trustwallet(.)com” te verzamelen.
De onthulling komt dagen nadat Trust Wallet ongeveer een miljoen gebruikers van zijn Chrome-extensie heeft aangespoord om te updaten naar versie 2.69 nadat op 24 december 2025 een kwaadaardige update (versie 2.68) door onbekende bedreigingsactoren naar de extensiemarktplaats van de browser was gepusht.
Het beveiligingsincident leidde er uiteindelijk toe dat 8,5 miljoen dollar aan cryptocurrency-activa werd geleegd van 2.520 portemonnee-adressen naar niet minder dan 17 portemonnee-adressen die door de aanvaller werden beheerd. De eerste portemonnee-aftappende activiteit werd een dag na de kwaadaardige update publiekelijk gemeld.
Trust Wallet heeft sindsdien een claimprocedure voor terugbetaling gestart voor de getroffen slachtoffers. Het bedrijf merkte op dat de beoordelingen van ingediende claims aan de gang zijn en van geval tot geval worden afgehandeld. Het benadrukte ook dat de verwerkingstijden per zaak kunnen variëren vanwege de noodzaak om onderscheid te maken tussen slachtoffers en slechte actoren, en om verdere bescherming tegen fraude te bieden.
Om te voorkomen dat dergelijke inbreuken zich opnieuw voordoen, zegt Trust Wallet aanvullende monitoringmogelijkheden en controles te hebben geïmplementeerd met betrekking tot de vrijgaveprocessen.
“Sha1-Hulud was een sectorbrede software supply chain-aanval die bedrijven in meerdere sectoren trof, inclusief maar niet beperkt tot crypto”, aldus het bedrijf. “Het ging om het introduceren en verspreiden van kwaadaardige code via veelgebruikte ontwikkelaarstools. Hierdoor konden aanvallers toegang krijgen via vertrouwde softwareafhankelijkheden in plaats van zich rechtstreeks op individuele organisaties te richten.”
De onthulling van Trust Wallet valt samen met de opkomst van Shai-Hulud 3.0 met verhoogde verduistering en verbeteringen in de betrouwbaarheid, terwijl de focus nog steeds gericht is op het stelen van geheimen van ontwikkelaarsmachines.
“Het belangrijkste verschil ligt in de verduistering van strings, foutafhandeling en Windows-compatibiliteit, allemaal gericht op het verlengen van de levensduur van de campagne in plaats van het introduceren van nieuwe exploitatietechnieken”, aldus Upwind-onderzoekers Guy Gilad en Moshe Hassan.
