Trust Wallet-Gründer und CZ versprechen Rückerstattung von 7 Millionen US-Dollar, die bei Hack am ersten Weihnachtstag verloren gingen

Trust Wallet hat zugesagt, etwa 7 Millionen Dollar an Kundengeldern zu erstatten, die bei einem Exploit am ersten Weihnachtsfeiertag verloren gingen, bestätigte der Gründer Changpeng Zhao auf der Social-Media-Plattform X. Der plötzliche Sicherheitsverstoß hat Teile der Krypto-Community erschüttert. Dennoch zielt Zhaos schnelle Zusicherung darauf ab, die Nerven zu beruhigen und das Vertrauen in das beliebte selbstverwahrende Wallet wiederherzustellen.

Der Vorfall ereignete sich am 25. Dezember, als eine kompromittierte Version der Trust Wallet Browser-Erweiterung verwendet wurde, um Vermögenswerte aus den Wallets der Nutzer abzuziehen. 

Erste Untersuchungen deuten darauf hin, dass der bösartige Code in Version 2.68 der Erweiterung aktiv war und unautorisierte Übertragungen über mehrere Blockchains hinweg auslöste, darunter Ethereum, Bitcoin und Solana. Innerhalb weniger Stunden zeigten On-Chain Daten, dass Gelder zu unbekannten Adressen abflossen, wobei die Verluste schnell 7 Millionen Dollar erreichten.

In einem Beitrag auf X am Freitag betonte Zhao, dass „Nutzergelder SAFU sind", unter Verwendung des beliebten Krypto-Industrie-Akronyms für Secure Asset Fund for Users. Er sagte, Trust Wallet werde betroffene Nutzer für ihre Verluste entschädigen. Das Team untersucht weiterhin, wie genau die Angreifer in der Lage waren, die kompromittierte Erweiterung hochzuladen und zu verbreiten.

Der Wallet-Anbieter beschrieb den Sicherheitsverstoß auch als auf die Browser-Erweiterung beschränkt. Trust Wallet forderte die Nutzer auf, die kompromittierte Version sofort zu deaktivieren und auf die korrigierte Version 2.69 zu aktualisieren, die über den offiziellen Chrome Web Store verfügbar ist.

Mobile App-Nutzer und diejenigen, die andere Erweiterungsversionen verwenden, waren Berichten zufolge nicht betroffen.

Wie sich der Trust Wallet-Exploit abspielte

Sicherheitsforscher und On-Chain-Analysten haben begonnen, einen Zeitplan des Angriffs zusammenzustellen. Erste Anzeichen der Vorbereitung durch die Angreifer gehen laut der Cybersicherheitsfirma SlowMist auf Anfang Dezember zurück. Ihre Berichte deuten darauf hin, dass bösartiger Code vor der Veröffentlichung in den Erweiterungs-Build eingebettet wurde, was auf einen sorgfältig geplanten Exploit und nicht auf einen einfachen automatisierten Angriff hindeutet.

Sobald die kompromittierte Erweiterung am ersten Weihnachtsfeiertag live war, sammelte sie sensible Nutzerdaten, einschließlich Seed-Phrases, und übertrug diese an einen von den Angreifern kontrollierten Remote-Server. Opfer, die eine Seed-Phrase in die Erweiterung importierten, sahen ihre Wallets innerhalb weniger Minuten geleert, selbst wenn sie gängige Sicherheitspraktiken befolgt hatten.

In der gesamten Krypto-Community markierten On-Chain-Ermittler Hunderte von Wallets, die von dem Sicherheitsverstoß betroffen waren. Die schnelle Bewegung von Vermögenswerten durch Mixing-Dienste erschwerte die Bemühungen, gestohlene Gelder zu verfolgen, und machte Vermögenswiederherstellungsmaßnahmen herausfordernd.

Der breitere Markt spürte den Schock der Nachricht, die zu einem Zeitpunkt kam, als die Kryptopreise bereits unter Druck standen. Trotz der relativ bescheidenen Größe des Verlustes im Vergleich zu massiven Börsen-Hacks in diesem Jahr hat der Vorfall eine erneute Sicherheitsüberprüfung der Browser-basierten Wallet-Infrastruktur und der Lieferkettensicherheit ausgelöst.

Inzwischen war Zhaos öffentliches Versprechen, die Verluste zu decken, darauf ausgerichtet, die Nutzer zu beruhigen, dass der Vorfall nicht zu persönlichen finanziellen Verlusten führen würde. Seine Botschaft betonte, dass betroffene Gelder aus den Reserven von Trust Wallet erstattet werden und dass das Problem auf die kompromittierte Erweiterung beschränkt zu sein scheint.

Einige Branchenbeobachter haben Fragen aufgeworfen, wie die bösartige Version die Überprüfung durchlaufen und über offizielle Kanäle verbreitet werden konnte.

Es gibt frühe Hinweise darauf, dass der Sicherheitsverstoß eine Kompromittierung der Lieferkette oder sogar Insider-Wissen beinhalten könnte, da der veränderte Code in die offizielle Veröffentlichung gelangen konnte. Diese Vermutungen haben Debatten in Foren und auf Social-Media-Plattformen ausgelöst, wobei einige Nutzer Bedenken hinsichtlich interner Kontrollen und Überprüfungsprozesse äußerten.

Trust Wallet hat darauf reagiert, indem es die Veröffentlichung der gepatchten Erweiterung priorisiert und die Nutzer auffordert, sofort zu aktualisieren. Es wurde auch empfohlen, dass Betroffene neue Seed-Phrases generieren und Vermögenswerte in sichere Umgebungen migrieren.

Der Beitrag Trust Wallet-Gründer CZ verspricht, 7 Millionen Dollar zu erstatten, die beim Weihnachtsfeiertags-Hack verloren gingen, erschien zuerst auf Technext.