Trust Wallet geconfronteerd met golf van frauduleuze claims na $7 miljoen Chrome-extensie hack

CEO Eowyn Chen onthulde maandag dat Trust Wallet 2.596 gecompromitteerde wallet-adressen heeft geïdentificeerd van de hack op 24 december. Het bedrijf ontving echter bijna 5.000 claims voor terugbetaling—een discrepantie die wijst op wijdverspreide frauduleuze inzendingen.

"Hierdoor is nauwkeurige verificatie van wallet-eigendom cruciaal om ervoor te zorgen dat fondsen aan de juiste mensen worden geretourneerd," verklaarde Chen. "Ons team werkt ijverig aan het verifiëren van claims; het combineren van meerdere datapunten om legitieme slachtoffers te onderscheiden van kwaadwillende actoren."

De enorme kloof tussen werkelijke slachtoffers en totale claims heeft Trust Wallet gedwongen snelheid op te geven ten gunste van nauwkeurigheid, wat een significante operationele draai markeert in een van de meest opmerkelijke crypto-beveiligingsincidenten van het jaar.

Hoe de Aanval Zich Ontvouwde

De inbreuk begon toen aanvallers een gelekte Chrome Web Store API-sleutel verkregen, waardoor ze Trust Wallet's interne beveiligingscontroles konden omzeilen. Op 24 december om 12:32 uur UTC ging de gecompromitteerde versie 2.68 van de Chrome-extensie live op Google's officiële store.

Volgens de analyse van blockchain-beveiligingsbedrijf SlowMist was de kwaadaardige code zorgvuldig verborgen in een gewijzigde analysebibliotheek genaamd posthog-js. Wanneer gebruikers hun wallets ontgrendelden, extraheerde de code heimelijk hun seed phrases—de hoofdsleutels tot cryptocurrency-wallets—en stuurde deze naar een server die door de aanvallers werd gecontroleerd.

Het domein dat werd gebruikt om gestolen gegevens te verzamelen, "api.metrics-trustwallet.com," werd geregistreerd op 8 december, wat suggereert dat de aanval minstens twee weken van tevoren was gepland. Cryptocurrency-onderzoeker ZachXBT signaleerde het probleem voor het eerst op eerste kerstdag nadat honderden gebruikers leeggeplunderde wallets rapporteerden.

Bron: @EowynChen

Trust Wallet lanceerde een gerepareerde versie 2.69 op 25 december. De inbreuk trof alleen Chrome-extensiegebruikers die inlogden vóór 26 december om 11:00 uur UTC. Mobiele app-gebruikers en andere browserversies bleven veilig.

De Insider-Vraag

Meerdere branchefiguren hebben zorgen geuit over mogelijke betrokkenheid van insiders bij de aanval. Binance-medeoprichter Changpeng Zhao, wiens bedrijf Trust Wallet bezit, zei dat de exploit "hoogstwaarschijnlijk" werd uitgevoerd door een insider, hoewel hij geen aanvullend bewijs leverde.

SlowMist-medeoprichter Yu Xian merkte op dat de aanvaller gedetailleerde kennis van de broncode van de extensie demonstreerde en de infrastructuur weken voor het uitvoeren van de diefstal had voorbereid. Het vermogen om een Chrome Web Store API-sleutel te verkrijgen en te misbruiken suggereert ofwel gecompromitteerde ontwikkelaarsapparatuur of gestolen implementatiemachtigingen.

Chen bevestigde dat het bedrijf een breder forensisch onderzoek uitvoert naast het compensatieproces, maar heeft niet bevestigd of insiders betrokken waren.

Gestolen Fondsen en Witwassen

De aanval resulteerde in ongeveer $7 miljoen aan verliezen over meerdere cryptocurrencies, waaronder Bitcoin, Ethereum en Solana. Blockchain-beveiligingsbedrijf PeckShield volgde meer dan $4 miljoen van de gestolen fondsen die zich door gecentraliseerde exchanges zoals ChangeNOW, FixedFloat en KuCoin bewogen. Ongeveer $2,8 miljoen bleef per 26 december in door aanvallers gecontroleerde wallets.

De snelle beweging van fondsen door meerdere exchanges en blockchain-netwerken heeft herstelwerkzaamheden gecompliceerd en het traceren van de aanvallers moeilijker gemaakt.

Compensatieproces Onder Toezicht

Binance-oprichter Zhao heeft zich gecommitteerd om alle geverifieerde verliezen te dekken, met de verklaring "gebruikersfondsen zijn SAFU"—een crypto-industrie term die "Secure Asset Fund for Users" betekent. Het verificatieproces is echter complexer geworden dan aanvankelijk verwacht.

Trust Wallet vereist dat getroffen gebruikers gedetailleerde informatie indienen via een officieel ondersteuningsformulier, inclusief e-mailadressen, gecompromitteerde wallet-adressen, aanvallersadressen en transactiehashes. Het bedrijf benadrukte dat nauwkeurigheid nu prioriteit krijgt boven snelheid.

De toename van valse claims benadrukt een terugkerend probleem bij cryptocurrency-beveiligingsincidenten. Hoewel blockchain-transparantie het mogelijk maakt om incidenten te traceren, blijft het koppelen van wallet-adressen aan geverifieerde gebruikers zonder gecentraliseerde records uitdagend. Deze spanning wordt acuut wanneer miljoenen dollars op het spel staan.

Chen zei dat het team meerdere verificatiemethoden combineert om claims te beoordelen, maar detailleerde de specifieke criteria die worden gebruikt niet. De verificatiefase markeert een kritieke test of Trust Wallet met succes frauduleuze inzendingen kan uitfilteren terwijl het vertrouwen onder echte slachtoffers behouden blijft.

Waarschuwing Over Secundaire Oplichtingen

Trust Wallet gaf dringende waarschuwingen uit over oplichters die de situatie uitbuiten. Het bedrijf rapporteerde nep-compensatieformulieren die werden verspreid via Telegram-advertenties, geïmiteerde ondersteuningsaccounts en directe berichten die om privésleutels of seed phrases vroegen.

Het officiële compensatieproces vraagt nooit om wachtwoorden, privésleutels of herstelzinnen. Gebruikers moeten alleen claims indienen via Trust Wallet's geverifieerde ondersteuningsportaal op trustwallet-support.freshdesk.com. Elke andere communicatie die beweert terugbetaling aan te bieden moet als frauduleus worden beschouwd.

Deze secundaire golf van oplichtingen voegt een extra risicolaag toe voor slachtoffers die al met gestolen fondsen te maken hebben. Het bedrijf benadrukte dat gebruikers moeten verifiëren dat alle communicatie van officiële Trust Wallet-kanalen komt voordat ze actie ondernemen.

Bredere Beveiligingsimplicaties

Het Trust Wallet-incident past in een groter patroon van supply chain-aanvallen gericht op cryptocurrency-gebruikers in 2024. Volgens Chainalysis-gegevens bereikte cryptocurrency-diefstal $6,75 miljard in 2024, waarbij persoonlijke wallet-compromissen stegen tot 158.000 van 64.000 het jaar daarvoor.

Browserextensies presenteren unieke beveiligingsuitdagingen omdat ze werken met verhoogde machtigingen en toegang hebben tot gevoelige gebruikersgegevens. Een enkele gecompromitteerde update kan binnen enkele uren honderdduizenden gebruikers treffen.

Het incident toont ook aan hoe zwakke verificatieprocessen een enkele beveiligingsinbreuk in meerdere problemen kunnen transformeren. Trust Wallet moet nu aanzienlijke middelen besteden aan het filteren van valse claims terwijl echte slachtoffers wachten op compensatie.

Trust Wallet's Chrome-extensie heeft volgens de officiële vermelding ongeveer een miljoen gebruikers, hoewel de praktische blootstelling afhangt van hoeveel mensen versie 2.68 installeerden en gevoelige gegevens invoerden tijdens het kwetsbare tijdsvenster.

De Weg Vooruit

Trust Wallet heeft verschillende stappen genomen om toekomstige incidenten te voorkomen. Het bedrijf liet alle release-API's verlopen om ongeautoriseerde versie-updates voor de komende twee weken te blokkeren. Het kwaadaardige domein dat werd gebruikt om gestolen gegevens te verzamelen werd gemeld bij zijn registrar en prompt opgeschort.

Er blijven echter vragen over hoe aanvallers de Chrome Web Store API-sleutel verkregen en of aanvullende beveiligingsmaatregelen zullen worden geïmplementeerd. Het lopende forensische onderzoek kan antwoorden bieden, maar Trust Wallet heeft geen specifieke wijzigingen in zijn releaseproces aangekondigd.

Voor cryptocurrency-gebruikers versterkt het incident het belang van het met extreme voorzichtigheid behandelen van wallet-updates. Beveiligingsexperts bevelen aan te wachten op bevestiging van de gemeenschap voordat updates worden geïnstalleerd en hardware-wallets te overwegen voor aanzienlijke bezittingen.

Het compensatieproces gaat door terwijl Trust Wallet duizenden claims doorwerkt. Het vermogen van het bedrijf om legitieme slachtoffers nauwkeurig te identificeren terwijl frauduleuze inzendingen worden geblokkeerd, zal waarschijnlijk beïnvloeden hoe andere wallet-providers toekomstige beveiligingsincidenten afhandelen.

Realiteitscheck

De Trust Wallet-inbreuk legt twee kritieke kwetsbaarheden in cryptocurrency-beveiliging bloot: supply chain-aanvallen kunnen zelfs goed ontworpen beveiligingssystemen omzeilen, en compensatieprocessen zelf worden doelwitten voor fraude. Terwijl Trust Wallet navigeert door de verificatie van bijna 5.000 claims voor 2.596 werkelijke slachtoffers, dient het incident als een kostbare herinnering dat in crypto-beveiliging de opruiming net zo uitdagend kan zijn als de inbreuk zelf.