Trust Wallet sieht sich nach 7 Millionen Dollar Chrome Extension Hack mit einer Welle betrügerischer Forderungen konfrontiert

CEO Eowyn Chen enthüllte am Montag, dass Trust Wallet 2.596 kompromittierte Wallet-Adressen vom Hack am 24. Dezember identifiziert hat. Das Unternehmen erhielt jedoch fast 5.000 Rückerstattungsanträge – eine Diskrepanz, die auf weit verbreitete betrügerische Einreichungen hinweist.

„Aus diesem Grund ist die genaue Verifizierung des Wallet-Besitzes entscheidend, um sicherzustellen, dass die Gelder an die richtigen Personen zurückgegeben werden", erklärte Chen. „Unser Team arbeitet sorgfältig daran, Anträge zu verifizieren; dabei kombinieren wir mehrere Datenpunkte, um legitime Opfer von böswilligen Akteuren zu unterscheiden."

Die massive Lücke zwischen tatsächlichen Opfern und Gesamtanträgen hat Trust Wallet gezwungen, Geschwindigkeit zugunsten von Genauigkeit aufzugeben, was eine bedeutende operative Wende in einem der bemerkenswertesten Krypto-Sicherheitsvorfälle des Jahres markiert.

Wie der Angriff ablief

Die Sicherheitsverletzung begann, als Angreifer einen durchgesickerten Chrome Web Store API Schlüssel erhielten, der es ihnen ermöglichte, die internen Sicherheitskontrollen von Trust Wallet zu umgehen. Am 24. Dezember um 12:32 Uhr UTC ging die kompromittierte Version 2.68 der Chrome-Erweiterung im offiziellen Store von Google live.

Laut der Analyse der Blockchain-Sicherheitsfirma SlowMist war der bösartige Code sorgfältig in einer modifizierten Analysebibliothek namens posthog-js versteckt. Als Benutzer ihre Wallets entsperrten, extrahierte der Code heimlich ihre Seed-Phrasen – die Hauptschlüssel zu Kryptowährungs-Wallets – und sendete sie an einen von den Angreifern kontrollierten Server.

Die Domain, die zum Sammeln gestohlener Daten verwendet wurde, „api.metrics-trustwallet.com", wurde am 08.12. registriert, was darauf hindeutet, dass der Angriff mindestens zwei Wochen im Voraus geplant wurde. Der Kryptowährungs-Ermittler ZachXBT wies am ersten Weihnachtstag auf das Problem hin, nachdem Hunderte von Benutzern geleerte Wallets gemeldet hatten.

Quelle: @EowynChen

Trust Wallet veröffentlichte am 25. Dezember eine bereinigte Version 2.69. Die Sicherheitsverletzung betraf nur Chrome-Erweiterungsbenutzer, die sich vor dem 26. Dezember um 11 Uhr UTC angemeldet hatten. Benutzer der mobilen App und anderer Browser-Versionen blieben sicher.

Die Insider-Frage

Mehrere Branchenpersönlichkeiten haben Bedenken hinsichtlich einer möglichen Insider-Beteiligung am Angriff geäußert. Binance-Mitgründer Changpeng Zhao, dessen Unternehmen Trust Wallet besitzt, sagte, der Exploit sei „höchstwahrscheinlich" von einem Insider durchgeführt worden, obwohl er keine zusätzlichen Beweise lieferte.

SlowMist-Mitgründer Yu Xian stellte fest, dass der Angreifer detaillierte Kenntnisse des Quellcodes der Erweiterung demonstrierte und die Infrastruktur Wochen vor der Ausführung des Diebstahls vorbereitet hatte. Die Fähigkeit, einen Chrome Web Store API Schlüssel zu erhalten und zu missbrauchen, deutet entweder auf kompromittierte Entwicklergeräte oder gestohlene Bereitstellungsberechtigungen hin.

Chen bestätigte, dass das Unternehmen eine umfassendere forensische Untersuchung parallel zum Entschädigungsprozess durchführt, hat aber nicht bestätigt, ob Insider beteiligt waren.

Gestohlene Gelder und Geldwäsche

Der Angriff führte zu Verlusten von etwa 7 Millionen US-Dollar über mehrere Kryptowährungen hinweg, darunter Bitcoin, Ethereum und Solana. Die Blockchain-Sicherheitsfirma PeckShield verfolgte mehr als 4 Millionen US-Dollar der gestohlenen Gelder, die über zentralisierte Börsen wie ChangeNOW, FixedFloat und KuCoin bewegt wurden. Etwa 2,8 Millionen US-Dollar verblieben am 26. Dezember in von Angreifern kontrollierten Wallets.

Die schnelle Bewegung von Geldern über mehrere Börsen und Blockchain-Netzwerke hat die Wiederherstellungsbemühungen erschwert und die Rückverfolgung der Angreifer schwieriger gemacht.

Entschädigungsprozess unter Beobachtung

Binance-Gründer Zhao hat sich verpflichtet, alle verifizierten Verluste zu decken, und erklärte, „Benutzergelder sind SAFU" – ein Begriff der Krypto-Branche, der „Secure Asset Fund for Users" bedeutet. Der Verifizierungsprozess ist jedoch komplexer geworden als ursprünglich erwartet.

Trust Wallet verlangt von betroffenen Benutzern, detaillierte Informationen über ein offizielles Support-Formular einzureichen, einschließlich E-Mail-Adressen, kompromittierter Wallet-Adressen, Angreifer-Adressen und Transaktions-Hashes. Das Unternehmen betonte, dass Genauigkeit jetzt Vorrang vor Geschwindigkeit hat.

Der Anstieg falscher Anträge unterstreicht ein wiederkehrendes Problem bei Kryptowährungs-Sicherheitsvorfällen. Während die Blockchain-Transparenz es ermöglicht, Vorfälle zurückzuverfolgen, bleibt die Verknüpfung von Wallet-Adressen mit verifizierten Benutzern ohne zentralisierte Aufzeichnungen herausfordernd. Diese Spannung wird akut, wenn Millionen von Dollar auf dem Spiel stehen.

Chen sagte, das Team kombiniere mehrere Verifizierungsmethoden zur Bewertung von Anträgen, erläuterte jedoch nicht die spezifischen verwendeten Kriterien. Die Verifizierungsphase stellt einen kritischen Test dar, ob Trust Wallet betrügerische Einreichungen erfolgreich herausfiltern kann, während es das Vertrauen unter echten Opfern aufrechterhält.

Warnung vor sekundären Betrugsmaschen

Trust Wallet gab dringende Warnungen vor Betrügern heraus, die die Situation ausnutzen. Das Unternehmen berichtete, gefälschte Entschädigungsformulare zu sehen, die über Telegram-Werbung verbreitet wurden, nachgeahmte Support-Konten und Direktnachrichten, die nach privaten Schlüsseln oder Seed-Phrasen fragten.

Der offizielle Entschädigungsprozess fordert niemals Passwörter, private Schlüssel oder Wiederherstellungsphrasen an. Benutzer sollten Anträge nur über das verifizierte Support-Portal von Trust Wallet unter trustwallet-support.freshdesk.com einreichen. Jede andere Kommunikation, die behauptet, Rückerstattung anzubieten, sollte als betrügerisch behandelt werden.

Diese sekundäre Welle von Betrugsmaschen fügt eine weitere Risikoebene für Opfer hinzu, die bereits mit gestohlenen Geldern zu tun haben. Das Unternehmen betonte, dass Benutzer verifizieren sollten, dass alle Kommunikationen von offiziellen Trust Wallet-Kanälen stammen, bevor sie Maßnahmen ergreifen.

Umfassendere Sicherheitsimplikationen

Der Trust Wallet-Vorfall fügt sich in ein größeres Muster von Supply-Chain-Angriffen ein, die 2024 auf Kryptowährungs-Benutzer abzielen. Laut Chainalysis-Daten erreichte der Kryptowährungsdiebstahl 2024 6,75 Milliarden US-Dollar, wobei die Kompromittierung persönlicher Wallets von 64.000 im Vorjahr auf 158.000 anstieg.

Browser-Erweiterungen stellen einzigartige Sicherheitsherausforderungen dar, da sie mit erhöhten Berechtigungen arbeiten und auf sensible Benutzerdaten zugreifen können. Ein einziges kompromittiertes Update kann innerhalb von Stunden Hunderttausende von Benutzern betreffen.

Der Vorfall zeigt auch, wie schwache Verifizierungsprozesse eine einzelne Sicherheitsverletzung in mehrere Probleme verwandeln können. Trust Wallet muss nun erhebliche Ressourcen aufwenden, um falsche Anträge herauszufiltern, während echte Opfer auf Entschädigung warten.

Trust Wallets Chrome-Erweiterung hat laut offizieller Auflistung etwa eine Million Benutzer, obwohl die praktische Exposition davon abhängt, wie viele Personen Version 2.68 installiert und während des anfälligen Zeitfensters sensible Daten eingegeben haben.

Der Weg nach vorne

Trust Wallet hat mehrere Schritte unternommen, um zukünftige Vorfälle zu verhindern. Das Unternehmen ließ alle Release-APIs ablaufen, um nicht autorisierte Versionsaktualisierungen für die nächsten zwei Wochen zu blockieren. Die bösartige Domain, die zum Sammeln gestohlener Daten verwendet wurde, wurde ihrem Registrar gemeldet und umgehend gesperrt.

Es bleiben jedoch Fragen, wie Angreifer den Chrome Web Store API Schlüssel erhielten und ob zusätzliche Sicherheitsmaßnahmen implementiert werden. Die laufende forensische Untersuchung könnte Antworten liefern, aber Trust Wallet hat keine spezifischen Änderungen an seinem Freigabeprozess angekündigt.

Für Kryptowährungs-Benutzer unterstreicht der Vorfall die Bedeutung, Wallet-Updates mit äußerster Vorsicht zu behandeln. Sicherheitsexperten empfehlen, vor der Installation von Updates auf Community-Bestätigung zu warten und Hardware-Wallets für bedeutende Bestände in Betracht zu ziehen.

Der Entschädigungsprozess geht weiter, während Trust Wallet Tausende von Anträgen bearbeitet. Die Fähigkeit des Unternehmens, legitime Opfer genau zu identifizieren und gleichzeitig betrügerische Einreichungen zu blockieren, wird wahrscheinlich beeinflussen, wie andere Wallet-Anbieter mit zukünftigen Sicherheitsvorfällen umgehen.

Realitätscheck

Die Trust Wallet-Sicherheitsverletzung legt zwei kritische Schwachstellen in der Kryptowährungs-Sicherheit offen: Supply-Chain-Angriffe können selbst gut konzipierte Sicherheitssysteme umgehen, und Entschädigungsprozesse selbst werden zu Zielen für Betrug. Während Trust Wallet die Verifizierung von fast 5.000 Anträgen für 2.596 tatsächliche Opfer navigiert, dient der Vorfall als kostspielige Erinnerung daran, dass in der Krypto-Sicherheit die Bereinigung ebenso herausfordernd sein kann wie die Sicherheitsverletzung selbst.