De cryptowallet-dienst Trust Wallet meldde dat een gecompromitteerde versie van hun browserextensie werd gebruikt om ongeveer 8,5 miljoen dollar aan cryptocurrency uit gebruikerswallets te stelen. Het bedrijf zei dat het incident verband hield met een bredere aanval op de softwareleveringsketen die bekendstaat als Sha1-Hulud.
Volgens Trust Wallet vond het incident eind 2025 plaats nadat een kwaadaardige versie van de browserextensie was geüpload naar de Chrome Web Store. De gewijzigde extensie werd gepubliceerd met gelekte ontwikkelaarsinloggegevens, waardoor de aanvaller standaard beveiligingscontroles kon omzeilen en de gecompromitteerde versie aan gebruikers kon verspreiden.
Het bedrijf zei dat de aanvaller externe kwaadaardige code in de extensie had ingebed. Zodra het was geïnstalleerd of bijgewerkt, kon de gecompromitteerde extensie toegang krijgen tot gevoelige wallet-informatie en ongeautoriseerde transacties starten. Trust Wallet zei dat dit ertoe leidde dat cryptocurrency uit getroffen wallets werd weggetrokken zonder goedkeuring van de gebruiker.
Trust Wallet zei dat het meer dan 2.500 walletadressen heeft geïdentificeerd die door de diefstal zijn getroffen. De gestolen gelden werden herleid naar een activiteit die plaatsvond kort nadat gebruikers de kwaadaardige extensie hadden geïnstalleerd of geüpdatet.
Het bedrijf koppelde het compromis aan het Sha1-Hulud incident, een supply chain-aanval waarbij ontwikkelaarsgeheimen werden onthuld en legitieme softwarepublicatietools misbruikt werden. Trust Wallet zei dat de gelekte inloggegevens werden gebruikt om de kwaadaardige extensie te ondertekenen en te uploaden, waardoor deze legitiem leek voor gebruikers en browserbeveiligingssystemen.
Na het identificeren van het probleem zei Trust Wallet dat het de gecompromitteerde inloggegevens had ingetrokken en de kwaadaardige extensieversie had verwijderd. Het bedrijf heeft de verlenging teruggedraaid naar een veilige release en zei dat het samenwerkte met platformaanbieders om verdere ongeautoriseerde updates te voorkomen.
Trust Wallet adviseerde gebruikers om ervoor te zorgen dat ze de nieuwste versie van de extensie gebruiken en zei dat het zijn interne processen herzien om het risico op soortgelijke incidenten te verminderen. Het bedrijf zei dat het de impact van de compromis blijft onderzoeken en toezicht houdt op gerelateerde kwaadaardige activiteiten.
Het incident benadrukt de risico’s van supply chain-aanvallen, waarbij aanvallers ontwikkelings- en distributiesystemen targeten in plaats van eindgebruikers direct. Trust Wallet zei dat de diefstal geen fout in de kernsoftware van de wallet betrof, maar het gevolg was van ongeautoriseerde wijzigingen tijdens het publicatieproces van de verlenging.