Der kompromittierte Trust Wallet Extension Hack fuer Google Chrome mit einem Schaden von rund 7 Millionen US‑Dollar gilt inzwischen als exemplarischer Fall dafuer, wie gefaehrlich eine Supply-Chain-Attacke auf Krypto-Wallets sein kann. Der Vorfall zeigt, dass selbst weit verbreitete, etablierte Wallets nicht vor gezielten Angriffen auf ihre Update- und Veröffentlichungsprozesse geschuetzt sind.
Wie der Angriff auf die Trust-Wallet-Chrome-Erweiterung ablief
Erste massive Beschwerden von Nutzern traten nach Installation der Version 2.68 des Trust Wallet Chrome Add-ons auf, die am 24. Dezember 2025 veroeffentlicht wurde. Kurz nach dem Update stellten Wallet-Inhaber fest, dass Gelder ohne ihr Zutun an unbekannte Adressen transferiert wurden – ein klares Indiz fuer eine Kompromittierung der Erweiterung.
Trust Wallet zog die Version 2.68 zurueck und veroeffentlichte kurzfristig eine bereinigte Version 2.69. Der Binance-Gruender und Trust-Wallet-Eigentuemer Changpeng Zhao bestaetigte oeffentlich einen Schaden von etwa 7 Millionen US‑Dollar und sagte eine vollstaendige Kompensation fuer betroffene Nutzer zu.
Technische Analyse: Manipulierter Code und Diebstahl von Seed-Phrasen
Nach Untersuchungen des Sicherheitsunternehmens SlowMist modifizierten die Angreifer direkt den Quellcode der Browser-Erweiterung, anstatt ueber kompromittierte externe Bibliotheken einzudringen. Der eingeschleuste Code iterierte ueber alle in der Erweiterung hinterlegten Wallets, forderte die verschluesselten Daten an, entschluesselte die Seed-Phrasen mithilfe des Nutzerpassworts und uebermittelte sie an einen von den Taetern kontrollierten Server.
Fuer die Exfiltration der Daten nutzten die Angreifer die legitime Analytics-Bibliothek PostHog. Statt die Telemetrie an die offizielle Infrastruktur zu senden, wurde der Traffic auf den taeuscherisch aehnlich benannten Domain-Endpunkt api.metrics-trustwallet[.]com umgeleitet. Diese Technik – der Missbrauch vertrauter Tools und HTTPS‑Verbindungen – ist typisch fuer moderne Stealth-Exfiltration, da sie im Regelfall wie normale Nutzungsstatistiken aussieht.
Der Domainname metrics-trustwallet[.]com wurde bereits am 8. Dezember registriert, erste Anfragen wurden ab dem 21. Dezember beobachtet. Die zeitliche Abfolge deutet auf eine fruehzeitig vorbereitete Infrastruktur und eine professionell geplante Operation hin – ein Muster, das auch aus anderen hochklassigen Supply-Chain-Angriffen bekannt ist.
Missbrauch des Chrome-Web-Store-Publishings
Trust-Wallet-Chefin Eowyn Chen erklaerte, dass der boesartige Release 2.68 nicht den regulaeren internen Build- und Release-Prozess des Unternehmens durchlaufen habe. Stattdessen haetten die Taeter einen geleakten API-Schluessel fuer den Chrome Web Store erlangt und damit eigenstandig eine manipulierte Version der Erweiterung hochgeladen, die anschliessend die Moderation von Google passierte und am 24. Dezember um 12:32 UTC veroeffentlicht wurde.
Dieser Schritt unterstreicht die enorme Bedeutung des Schutzes technischer Zugangsdaten wie API-Keys, CI/CD-Token und Accounts in App-Stores. Wer diese Credentials kontrolliert, kann im Namen des Entwicklers Updates ausrollen – Updates, denen Nutzer in der Regel automatisch vertrauen. In der Praxis zaehlt der Diebstahl solcher Schluessel inzwischen zu den haeufigsten Ursachen schwerwiegender Supply-Chain-Vorfaelle.
Parallele Phishing-Kampagne gegen Trust-Wallet-Nutzer
Fast zeitgleich zur Verbreitung der manipulierten Erweiterung wurde eine eigenstaendige Phishing-Kampagne gegen Trust-Wallet-Anwender gestartet. Laut Berichten von BleepingComputer tauchten in der Plattform X (ehemals Twitter) gefaelschte Support-Accounts auf, die Betroffene auf die Domain fix-trustwallet[.]com lenkten.
Die Seite imitierte das offizielle Trust-Wallet-Portal und versprach, eine vermeintliche Sicherheitsluecke zu beheben. Nach Klick auf „Update“ erschien eine Eingabemaske, in die Nutzer ihre Seed-Phrase eingeben sollten. Die Eingabe ermoeglichte den Taetern den vollstaendigen Zugriff auf die Wallets. Auffaellig ist, dass fix-trustwallet[.]com beim selben Registrar wie metrics-trustwallet[.]com registriert wurde, was auf einen engen Zusammenhang beider Aktionen hindeutet.
Finanzieller Schaden und Bewegung der gestohlenen Kryptowerte
Blockchain-Analysen ergeben, dass rund 3 Millionen US‑Dollar in Bitcoin, etwa 431 US‑Dollar in Solana und mehr als 3 Millionen US‑Dollar in Ethereum entwendet wurden. Nach Angaben von PeckShield wurden grosse Teile der Beute zeitnah ueber zentrale Kryptoboersen und Swap-Dienste weiterverteilt – ein typisches Muster zur Verschleierung der Geldfluesse.
So flossen etwa 3,3 Millionen US‑Dollar an den Dienst ChangeNOW, rund 340.000 US‑Dollar an FixedFloat und etwa 447.000 US‑Dollar an die Boerse KuCoin. Weitere ca. 2,8 Millionen US‑Dollar befanden sich zum Zeitpunkt der Auswertung noch auf Adressen, die den Angreifern zugeordnet werden. Zwar koennen Boersen Gelder teilweise einfrieren und mit Ermittlungsbehoerden kooperieren, die Aufsplitterung auf viele Plattformen erschwert jedoch eine effektive Rueckverfolgung.
Moegliche Urheber und die Frage nach Insidern
SlowMist schliesst nicht aus, dass es sich bei den Taetern um staatlich unterstuetzte Hackergruppen handeln koennte. Die Kombination aus lang vorbereiteter Infrastruktur, zielgerichteter Manipulation von Release-Prozessen und der parallelen Social-Engineering-Kampagne spricht fuer ein hohes Mass an technischer und operativer Faehigkeit.
Auch ein Insider-Szenario steht im Raum: Changpeng Zhao erwaehnte diese Moeglichkeit, konkrete oeffentliche Beweise dafuer liegen bislang jedoch nicht vor. Erfahrungsgemaess entstehen grosse Sicherheitsvorfaelle haeufig aus einer Mischung aus technischen Schwaechen, unzureichenden Prozessen und menschlichen Fehlern – von unsauberen Zugriffsrechten bis hin zu unzureichend geschuetzten Entwicklerrechnern.
Reaktion von Trust Wallet und Risiken durch Folge-Betrug
Trust Wallet hat angekuendigt, die Verluste aller betroffenen Nutzer zu erstatten. Dafuer steht ein Formular auf der offiziellen Support-Seite unter trustwallet-support.freshdesk.com bereit, in dem unter anderem Kontakt-E-Mail, Land, kompromittierte Adressen und Transaktions-Hashes angegeben werden muessen.
Parallel warnt das Unternehmen eindringlich vor weiteren Phishing- und Betrugskampagnen, die die Unsicherheit nach dem Hack ausnutzen. In Telegram und anderen Kanaelen kursieren bereits gefaelschte Entschaedigungsformulare und angebliche „Support-Teams“. Trust Wallet betont, dass Nutzer ausschliesslich ueber die auf der offiziellen Website und in verifizierten Accounts gelisteten Kanaele kommunizieren sollen.
Der Vorfall rund um die kompromittierte Trust Wallet Chrome Erweiterung zeigt, wie eng technische Supply-Chain-Angriffe und Social Engineering inzwischen verzahnt sind. Wer Kryptowaehrungen verwaltet, sollte grundlegende Sicherheitsprinzipien strikt beherzigen: Software nur aus vertrauenswuerdigen Quellen beziehen, Domains und Social-Media-Accounts genau pruefen, Seed-Phrasen niemals in Webformulare oder auf Drittseiten eingeben, fuer groessere Betraege moeglichst Hardware-Wallets und separate Geraete oder Browserprofile nutzen und starke Mehrfaktor-Authentifizierung aktivieren. Fuer Anbieter von Krypto-Diensten gilt zugleich, ihre Build- und Release-Pipelines, API-Schluessel und Store-Accounts als kritische Infrastruktur zu behandeln. Nur wenn beide Seiten – Nutzer und Anbieter – ihre Sicherheitsstandards erhoehen, lassen sich aehnliche Supply-Chain-Angriffe kuenftig wirksam eindämmen.
