Hack pro rozšíření Trust Wallet v hodnotě 7 milionů dolarů: Vše, co potřebujete vědět

Trust Peněženka potvrzeno že škodlivá aktualizace oficiálního rozšíření prohlížeče Chrome vedla ke krádeži uživatelských finančních prostředků ve výši přibližně 7 milionů dolarů. Únik se dotkl pouze jedné verze rozšíření, verze 2.68, a útočníci ukradli seed fráze peněženky pomocí vloženého škodlivého kódu. Podle zpráv nebyli mobilní uživatelé a ostatní verze prohlížečů ovlivněni.

Co se stalo při hacknutí rozšíření Trust Wallet?

Incident začal 24. prosince 2025, kdy Trust Wallet vydal verzi 2.68.0 svého rozšíření pro Chrome. Uživatelé zpočátku hlásili ojedinělé ztráty. Peněženky byly vyčerpány krátce po přístupu nebo importu prostřednictvím rozšíření. To, co vypadalo jako ojedinělé případy, rychle poukázalo na širší problém.

Na Boží hod vánoční, on-chain vyšetřovatel ZachXBT vydáno veřejné varování, zatímco ukradené finanční prostředky se stále pohybovaly v řetězci. Propojil odtoky peněženky přímo s aktualizací v2.68. Jeho analýza pomohla zjistit, že se nejednalo o chybu uživatele ani phishing, ale o napadené rozšíření prohlížeče.

Do 26. prosince společnost Trust Wallet potvrdila narušení bezpečnosti. Společnost uvedla, že problém se týkal pouze verze 2.68 a vyzvala uživatele k okamžitému upgradu na verzi 2.69. Rozšíření pro Chrome má podle seznamu v internetovém obchodě Chrome přibližně milion uživatelů.

Trust Wallet později potvrdil, že v rámci několika blockchainů bylo ukradeno přibližně 7 milionů dolarů digitálních aktiv.

Kteří uživatelé byli dotčeni?

V ohrožení byli pouze uživatelé, kteří si nainstalovali nebo se přihlásili do rozšíření Trust Wallet pro Chrome verze 2.68 před 26. prosincem 11:00 UTC.

Podle výzkumníků Trust Wallet a bezpečnostních výzkumníků:

• Uživatelé mobilních aplikací nebyli dotčeni
• Ostatní verze rozšíření prohlížeče nebyly ovlivněny
• Peněženky přístupné prostřednictvím verze 2.68 by mohly být plně ohroženy

V mnoha případech byly peněženky vyprázdněny během několika minut po odemčení rozšíření nebo importu seed fráze. Zasaženy byly stovky peněženek, včetně adres Bitcoin, Ethereum a Solana.

Generální ředitelka Trust Wallet, Eowyn Chen, potvrdila, že uživatelé, kteří se přihlásili během dotčeného období, by měli předpokládat, že jejich peněženky byly odhaleny, a vygenerovat si nové.

Jak fungoval škodlivý kód?

Podle blockchainové bezpečnostní firmy Pomalá mlhaÚtok nebyl způsoben škodlivou knihovnou třetí strany. Útočník místo toho přímo upravil vlastní kód rozšíření Trust Wallet. Škodlivá logika byla vložena do analytické komponenty rozšíření.

Objevte slibné projekty...

Slibné projekty...

(Inzerát)

Článek pokračuje...

Zde je návod, jak to fungovalo:

• Kód iteroval všemi peněženkami uloženými v rozšíření.
• Spustilo to požadavek na mnemotechnickou frázi pro každou peněženku.
• Když uživatelé odemkli peněženku, zašifrovaná seed fráze byla dešifrována.
• Dešifrovaná mnemotechnická pomůcka byla odeslána na server ovládaný útočníkem.

Data byla ukradena na doménu api.metrics-trustwallet[.]com. Doména byla zaregistrována 8. prosince 2025. Požadavky na server začaly 21. prosince, několik dní před zveřejněním škodlivé aktualizace.

Útočník použil jako zástěrku legitimní open-source analytickou knihovnu s názvem posthog-js. Místo odesílání dat do správného analytického endpointu byl provoz přesměrován na server útočníka.

SlowMist uvedl, že se jedná o interní kompromis v kódové základně, nikoli o narušenou závislost.

Jak bylo kompromitované rozšíření zveřejněno?

Interní vyšetřování společnosti Trust Wallet odhalilo kritickou chybu v procesu jejího vydávání. Podle generální ředitelky Eowyn Chen byl k publikaci škodlivé verze použit uniklý klíč API internetového obchodu Chrome.

Napadené rozšíření bylo nahráno 24. prosince v 12:32 UTC. Tím se obešlo běžné interní kontroly Trust Wallet.

Ukazuje se, že útočník nezneužíval uživatele přímo. Místo toho zneužíval distribuční infrastrukturu. Útoky na dodavatelský řetězec, jako je tento, je obtížnější odhalit, protože software se jeví jako oficiální a důvěryhodný.

Kolik bylo ukradeno a kam se peníze poděly?

Trust Wallet a nezávislí výzkumníci odhadují celkové ztráty na zhruba 7 milionů dolarů.

Rozpis známého odcizeného majetku zahrnuje:

• Přibližně 3 miliony dolarů Bitcoin
• Více než 3 milionů dolarů Ethereum
• Menší množství v Solana a další majetek

Podle PeckShield a ZachXBT, ukradené finanční prostředky byly rychle vyprané.

Mezi klíčové pohyby patří:

• Přibližně 3.3 milionu dolarů bylo odesláno organizaci ChangeNOW
• Přibližně 340 000 dolarů bylo odesláno společnosti FixedFloat
• Zhruba 447 000 dolarů bylo odesláno do KuCoinu

Centralizovanými burzami prošlo více než 4 miliony dolarů. K poslední aktualizaci zbývalo v peněženkách ovládaných útočníkem přibližně 2.8 milionu dolarů.

Tento vzorec odráží další případy kompromitace peněženek, kdy útočníci používají služby okamžitého swapu a mosty ke snížení sledovatelnosti.

Plán odpovědí a kompenzací Trust Wallet

Společnost Trust Wallet prosadila rychlé řešení. Verze 2.69 byla vydána 25. prosince, která škodlivý kód odstranila. Uživatelé byli vyzváni, aby verzi 2.68 okamžitě deaktivovali.

Společnost také spustila formální kompenzační program.

Dotčení uživatelé mohou podat stížnosti prostřednictvím oficiální formulář podpory na webových stránkách Trust WalletProces vyžaduje:

• E-mail
• Země trvalého pobytu
• Kompromitované adresy peněženek
• Útočník přijímá adresy
• Relevantní hashe transakcí

Společnost Trust Wallet uvedla, že každá žádost bude individuálně ověřena.

„Pracujeme nepřetržitě na finalizaci detailů procesu odškodnění a každý případ vyžaduje pečlivé ověření, aby byla zajištěna přesnost a bezpečnost,“ uvedla společnost.

Changpeng Zhao, spoluzakladatel a bývalý generální ředitel společnosti Binance, která v roce 2018 koupila Trust Wallet, potvrdil, že ztráty budou pokryty.

Proč je tento hack důležitý pro zabezpečení peněženky

Tento incident zdůrazňuje opakující se riziko v kryptoměnách. I peněženky bez úschovy závisí na softwarových distribučních kanálech. Když tyto kanály selžou, uživatelé mohou přijít o vše.

Hacknutí Trust Wallet sleduje širší vzorec pozorovaný v celém odvětví. Začátkem tohoto roku společnost Coinbase oznámila, že po samostatném úniku souvisejícím s podplácením podpůrného personálu v Indii vrátí více než 400 milionů dolarů.

Různé metody útoku, stejný výsledek. Předpoklady důvěry se na hranách hroutí.

Pro uživatele to posiluje základní bezpečnostní pravidla:

• Zacházejte s rozšířeními prohlížeče jako s vysoce rizikovým softwarem
• Okamžitě aktualizovat, jakmile budou vydány opravy
• Převeďte finanční prostředky, pokud by mohla být peněženka ohrožena
• Nikdy znovu nepoužívejte odhalené seed fráze

Pro poskytovatele peněženek se lekce týká zabezpečení vydaných verzí. Hlavními cíli útoků jsou nyní klíče API, kanály sestavení a přihlašovací údaje k úložištím.

Proč investovat do čističky vzduchu?

Hacknutí rozšíření Trust Wallet v hodnotě 7 milionů dolarů bylo výsledkem kompromitace dodavatelského řetězce, nikoli chyby uživatele. Škodlivý kód vložený do verze 2.68 rozšíření pro Chrome shromažďoval seed fráze a vyčerpával peněženky napříč několika blockchainy. 

Společnost rust Wallet reagovala odstraněním postižené verze, vydáním opravy a závazkem k plné náhradě. Incident zdůrazňuje, jak rozšíření prohlížeče zůstávají kritickým místem pro útok v kryptoměnách a proč musí uživatelé i vývojáři brát bezpečnost distribuce stejně vážně jako správu soukromých klíčů.

Zdroje

1. Důvěřujte peněžence na XOznámení ze 26. prosince

2. Příspěvek Slowmist na XZpráva o zneužití Trust Wallet

3. Příspěvek PeckShield na XZneužití peněženky Trust Wallet