Der Kryptowährungs-Wallet-Dienst Trust Wallet teilte mit, dass eine kompromittierte Version seiner Browsererweiterung verwendet wurde, um etwa 8,5 Millionen Dollar an Kryptowährung aus den Nutzer-Wallets zu stehlen. Das Unternehmen erklärte, der Vorfall stehe im Zusammenhang mit einem umfassenderen Angriff auf die Software-Lieferkette namens Sha1-Hulud.
Laut Trust Wallet ereignete sich der Vorfall Ende 2025, nachdem eine bösartige Version der Browser-Erweiterung in den Chrome Web Store hochgeladen worden war. Die veränderte Erweiterung wurde mit geleakten Entwicklerdaten veröffentlicht, was es dem Angreifer ermöglichte, Standard-Sicherheitsprüfungen zu umgehen und die kompromittierte Version an die Nutzer zu verteilen.
Das Unternehmen sagte, der Angreifer habe externen bösartigen Code in die Erweiterung eingebettet. Nach der Installation oder Aktualisierung konnte die kompromittierte Erweiterung auf sensible Wallet-Informationen zugreifen und unautorisierte Transaktionen initiieren. Trust Wallet erklärte, dass dies dazu führte, dass Kryptowährungen ohne Zustimmung des Nutzers aus betroffenen Wallets entzogen wurden.
Trust Wallet gab an, mehr als 2.500 Wallet-Adressen identifiziert zu haben, die vom Diebstahl betroffen waren. Die gestohlenen Gelder wurden auf eine Aktivität zurückgeführt, die kurz nach der Installation oder Aktualisierung der bösartigen Erweiterung der Nutzer stattfand.
Das Unternehmen brachte den Kompromiss mit dem Sha1-Hulud-Vorfall in Verbindung, einem Lieferkettenangriff, bei dem Entwicklergeheimnisse enthüllt und legitime Software-Publishing-Tools missbraucht wurden. Trust Wallet erklärte, dass die geleakten Zugangsdaten verwendet wurden, um die bösartige Erweiterung zu signieren und hochzuladen, sodass sie für Nutzer und Browser-Sicherheitssysteme legitim erscheint.
Nach Identifizierung des Problems teilte Trust Wallet mit, dass die kompromittierten Zugangsdaten widerrufen und die bösartige Erweiterung entfernt wurden. Das Unternehmen hat die Erweiterung auf eine sichere Version zurückgesetzt und erklärt, dass es mit Plattformanbietern zusammengearbeitet hat, um weitere unautorisierte Updates zu verhindern.
Trust Wallet riet den Nutzern, sicherzustellen, dass sie die neueste Version der Erweiterung ausführen, und überprüft seine internen Prozesse, um das Risiko ähnlicher Vorfälle zu verringern. Das Unternehmen erklärte, es prüfe weiterhin die Auswirkungen des Kompromittierens und beobachte damit verbundene bösartige Aktivitäten.
Der Vorfall hebt die Risiken hervor, die von Lieferkettenangriffen ausgehen, bei denen Angreifer Entwicklungs- und Verteilungssysteme anvisieren und nicht direkt Endnutzer. Trust Wallet erklärte, dass der Diebstahl keinen Fehler in seiner Kern-Wallet-Software betraf, sondern auf unautorisierte Änderungen während des Veröffentlichungsprozesses der Erweiterung zurückzuführen sei.