Trust Wallet startet Entschädigung nach 7-Mio. Dollar Browser Hack

Wenn ein Wallet-Anbieter von Selbstverwahrung spricht, erwarten die Nutzer, dass die Software-Ebene wasserdicht ist. Dieses Vertrauen erlitt in dieser Woche einen Dämpfer, nachdem Trust Wallet ein bösartiges Update seiner Chrome-Browsererweiterung bestätigte, das zum Diebstahl von etwa 7 Millionen Dollar in digitalen Vermögenswerten führte. Nun sagt das Unternehmen, dass es schnell handelt, um die betroffenen Nutzer zu entschädigen.

Zwei Tage nach der Entdeckung des Sicherheitsvorfalls gab Trust Wallet bekannt, dass es einen formellen Entschädigungsprozess für die Opfer der kompromittierten Version 2.68 seiner Chrome-Erweiterung eingeleitet hat.

Wie der Entschädigungsprozess funktioniert

Trust Wallet hat ein offizielles Anspruchsportal eröffnet, in dem betroffene Nutzer Details im Zusammenhang mit dem Angriff einreichen können. Das Formular fragt nach grundlegenden Identifikationsinformationen wie E-Mail-Adresse und Land sowie nach technischen Nachweisen, einschließlich kompromittierter Wallet-Adressen, Adressen der Angreifer und Transaktions-Hashes.

Das Unternehmen gibt an, dass jede Einsendung individuell überprüft wird. Laut Trust Wallet ist diese Überprüfung unerlässlich, um Fehler, falsche Ansprüche oder weiteren Missbrauch der Situation zu verhindern.

In einer öffentlichen Erklärung sagte das Unternehmen, dass es rund um die Uhr daran arbeitet, Entschädigungen abzuschließen und Genauigkeit zu gewährleisten, während die Sicherheit während des gesamten Prozesses aufrechterhalten wird.

Was gestohlen wurde und wohin die Gelder gingen

Der Sicherheitsverstoß führte zu Verlusten über mehrere Blockchains hinweg, darunter Bitcoin, Ethereum und Solana. Das Blockchain-Sicherheitsunternehmen PeckShield schätzt, dass über 4 Millionen Dollar der gestohlenen Gelder bereits durch zentrale Börsen wie ChangeNOW, FixedFloat und KuCoin geflossen sind.

Den neuesten On-Chain-Daten zufolge befinden sich noch etwa 2,8 Millionen Dollar in Wallets, die vom Angreifer kontrolliert werden.

Binance Bestätigt Verlustabdeckung

Um den Nutzern zusätzliche Sicherheit zu bieten, bestätigte Changpeng Zhao, Gründer von Binance, öffentlich, dass alle verifizierten Verluste gedeckt werden.

In einem Beitrag auf X erklärte Zhao, dass etwa 7 Millionen Dollar betroffen seien und dass Trust Wallet die Nutzer vollständig entschädigen werde, wobei er betonte, dass die Gelder der Nutzer weiterhin SAFU seien.

Wie der Angriff erfolgte

Der Vorfall wurde erstmals bekannt, nachdem der Onchain-Ermittler ZachXBT auf Telegram davor gewarnt hatte, dass mehrere Trust Wallet-Nutzer über geleerte Kontostände berichteten, kurz nachdem sie das Update vom 24. Dezember installiert hatten.

Die interne Untersuchung von Trust Wallet ergab, dass ein durchgesickerter API-Schlüssel des Chrome Web Store verwendet wurde, um das bösartige Erweiterungs-Update am 24. Dezember um 12:32 Uhr UTC zu veröffentlichen. Dies ermöglichte es den Angreifern, die internen Freigabekontrollen des Unternehmens zu umgehen.

Die Sicherheitsfirma SlowMist identifizierte später den bösartigen Code, der eine modifizierte Open-Source-Analysebibliothek nutzte, um Wallet-Seed-Phrasen zu sammeln. Sobald kompromittiert, konnten Angreifer schnell Gelder abziehen, ohne weitere Benutzerinteraktion.

Wer betroffen war und wer nicht

Nur Nutzer der Chrome-Erweiterung mit der Version 2.68 waren betroffen. Trust Wallet veröffentlichte am 25. Dezember eine gepatchte Version 2.69. Laut CEO Eowyn Chen waren Nutzer, die sich vor dem 26. Dezember um 11 Uhr UTC in die Erweiterung eingeloggt hatten, potenziell gefährdet.

Benutzer der mobilen App und diejenigen, die andere Browserversionen der Erweiterung verwenden, waren nicht betroffen. Allein die Chrome-Erweiterung hat laut ihrer Web Store-Auflistung fast eine Million Nutzer.

Warnung vor gefälschten Entschädigungsbetrügereien

Trust Wallet fordert die Nutzer auch auf, wachsam zu bleiben. Nach dem Vorfall sind bereits gefälschte Entschädigungsformulare und Betrügereien durch Nachahmer im Umlauf. Das Unternehmen betonte, dass Ansprüche nur über das offizielle Support-Portal eingereicht werden sollten und warnte die Nutzer davor, Wiederherstellungsphrasen oder private Schlüssel unter keinen Umständen weiterzugeben.

Was dies für die Zukunft bedeutet

Dieser Vorfall erinnert daran, dass selbst bekannte Wallet-Anbieter weiterhin Risiken in der Lieferkette ausgesetzt sind, insbesondere durch Browser-Erweiterungen. Während die Entscheidung von Trust Wallet, die Nutzer vollständig zu entschädigen, das Vertrauen wiederherstellt, unterstreicht der Vorfall, wie ein einziges durchgesickertes Anmeldedatum zu Millionenverlusten führen kann.

Für die Nutzer ist die Lektion einfach, aber unangenehm. Updates sind wichtig, Verifizierung ist wichtig, und Browser-Erweiterungen bleiben eines der weichsten Ziele im Krypto-Ökosystem.