Verstecktes Skript beim Sammeln privater Schlüssel erwischt, während Trust Wallet eine Notfallwarnung für Chrome-Nutzer herausgibt

Trust Wallet forderte die Nutzer auf, die Chrome-Browsererweiterung in Version 2.68 zu deaktivieren, nachdem das Unternehmen einen Sicherheitsvorfall bestätigt und am 25. Dezember Version 2.69 veröffentlicht hatte, nachdem Berichte über Wallet-Abflüsse im Zusammenhang mit dem Update vom 24. Dezember aufkamen.

Laut Opfern und Forschern begannen die Diebstähle kurz nach dem Rollout von 2.68 gemeldet zu werden. Erste öffentliche Schätzungen beziffern die Verluste auf einen Bereich von 6 bis über 7 Millionen US-Dollar über mehrere Chains hinweg.

Der Chrome Web Store listet die Trust Wallet-Erweiterung in Version 2.69 als „Aktualisiert: 25. Dezember 2025“ und markiert so den Zeitpunkt des Patches des Anbieters mit dem Tag, an dem der Vorfall breitere Aufmerksamkeit erhielt.

Die gleiche Anzeige zeigt etwa 1.000.000 Nutzer. Das bildet eine Obergrenze für die potenzielle Reichweite im schlimmsten Fall.

Die tatsächliche Gefährdung hängt davon ab, wie viele Menschen 2.68 installiert und während der aktiven Zeit sensible Daten eingegeben haben.

Die Hinweise von Trust Wallet bezogen sich auf die Browser-Erweiterung. Das Medium erklärte, dass Mobilnutzer und andere Versionen der Erweiterung nicht betroffen waren.

Die bisherige Berichterstattung konzentrierte sich auf eine spezifische Nutzeraktion während des 2.68-Zeitraums.

Forscher weisen auf erhöhte Risiken im Zusammenhang mit Trust Wallet-Browsererweiterungs-Update hin

Forscher und Incident-Tracker ordneten das höchste Risiko Nutzern zu, die nach der Installation der betroffenen Version eine Seed-Phrase importierten oder eingaben. Eine Seed-Phrase kann aktuelle und zukünftige daraus abgeleitete Adressen entsperren.

Das Medium berichtete auch, dass Forscher beim Überprüfen des 2.68-Pakets verdächtige Logik in einer JavaScript-Datei entdeckten, darunter Verweise auf eine Datei mit der Bezeichnung „4482.js“.

Sie erklärten, die Logik könne Wallet-Geheimnisse an einen externen Host übertragen. Die Forscher warnten auch, dass technische Indikatoren noch zusammengetragen würden, während Ermittler ihre Ergebnisse veröffentlichten.

In der gleichen Berichterstattung wurde vor sekundären Betrugsversuchen gewarnt, darunter Nachahmer-Domains mit angeblichen „Fixes“. Diese Köder versuchen, Nutzer durch vorgebliche Fehlerbehebung zur Herausgabe ihrer Recovery-Phrase zu verleiten.

Für Nutzer macht es einen Unterschied, ob sie ein Upgrade durchführen oder Gegenmaßnahmen ergreifen.

Das Update auf 2.69 kann potenziell schädliches oder unsicheres Verhalten der Erweiterung in Zukunft entfernen. Es schützt jedoch nicht automatisch Vermögenswerte, wenn eine Seed-Phrase oder ein privater Schlüssel bereits kompromittiert wurde.

In diesem Fall umfassen standardmäßige Reaktionsmaßnahmen das Verschieben von Geldern auf neue Adressen, die aus einer neuen Seed-Phrase erstellt wurden. Nutzer sollten außerdem Token-Genehmigungen überprüfen und gegebenenfalls widerrufen.

Jedes System, das die Phrase verarbeitet hat, sollte als verdächtig betrachtet werden, bis es neu aufgebaut oder als sauber verifiziert wurde.

Diese Maßnahmen können für Privatanwender einen erheblichen operativen Aufwand bedeuten. Sie erfordern die Wiederherstellung von Positionen über verschiedene Chains und Anwendungen hinweg.

In manchen Fällen erzwingen sie zudem eine Abwägung zwischen Geschwindigkeit und Präzision, wenn Gasgebühren und Bridge-Risiken Teil der Wiederherstellung sind.

Der Vorfall lenkt zudem die Aufmerksamkeit auf das Vertrauensmodell von Browser-Erweiterungen.

Erweiterungen befinden sich an einer sensiblen Schnittstelle zwischen Webanwendungen und Signaturprozessen

Jede Kompromittierung kann genau die Eingaben angreifen, auf die Nutzer zur Verifizierung einer Transaktion vertrauen.

Akademische Forschung zur Erkennung von Chrome Web Store-Erweiterungen hat beschrieben, wie bösartige oder kompromittierte Erweiterungen automatisierte Prüfungen umgehen können. Es wurde auch beschrieben, wie die Erkennungsrate sinken kann, wenn sich die Taktiken der Angreifer im Laufe der Zeit verändern.

Laut einer arXiv-Publikation zum Thema maschinelles Lernen bei der Erkennung bösartiger Erweiterungen können „Concept Drift“ und sich entwickelnde Verhaltensweisen die Effektivität statischer Ansätze untergraben. Dieser Punkt wird greifbar, wenn ein Wallet-Erweiterungsupdate verdächtigt wird, mit verschleierter clientseitiger Logik Geheimnisse abzugreifen.

Die nächsten Offenlegungen von Trust Wallet werden die Grenzen dafür setzen, wie sich die Geschichte weiterentwickelt.

Ein Post-Mortem des Anbieters, das die Ursache dokumentiert, verifizierte Indikatoren (Domains, Hashes, Bundle-IDs) veröffentlicht und den Umfang klärt, würde Wallet-Anbietern, Börsen und Sicherheitsteams helfen, gezielte Überprüfungen und Nutzeranweisungen zu entwickeln.

Fehlt dies, bleiben die Gesamtzahlen zu Vorfällen oft instabil. Opferberichte können verspätet eintreffen, On-Chain-Cluster können verfeinert werden und Ermittler prüfen weiterhin, ob verschiedene Angreifer die gleiche Infrastruktur nutzen oder opportunistische Nachahmer sind.

Die Token-Märkte reagierten mit Bewegungen, aber nicht mit einer einheitlichen Neupreisfindung.

Die zuletzt angegebenen Zahlen für Trust Wallet Token (TWT) zeigten einen letzten Preis von $0,83487, ein Plus von $0,01 (0,02%) gegenüber dem vorherigen Schlusskurs. Die Zahlen zeigten ein Tageshoch von $0,8483 und ein Tagestief von $0,767355.

Die Verlustberechnung bleibt im Fluss. Die derzeitige, am besten dokumentierte Schätzung liegt im Bereich von 6 bis über 7 Millionen US-Dollar, gemeldet in den ersten 48 bis 72 Stunden nach der Verbreitung von 2.68.

Dieser Bereich kann sich aus Routinegründen in Diebstahluntersuchungen noch verschieben

Dazu gehören verspätete Opfermeldungen, Adressenumklassifizierungen und eine bessere Sicht auf Cross-Chain-Swaps und Auszahlungsrouten.

Ein praktikabler Prognosebereich für die nächsten zwei bis acht Wochen kann als Szenario mit messbaren Variablen beschrieben werden. Dazu zählen, ob der Kompromittierungspfad auf die Seed-Eingabe bei 2.68 beschränkt war, ob weitere Wege bestätigt werden und wie schnell Nachahmer-„Fix“-Köder entfernt werden.

Der Vorfall ereignet sich vor dem Hintergrund einer breiteren Prüfung, wie kryptobezogene Software für Endkunden mit Geheimnissen auf Allzweckgeräten umgeht.

Die Diebstahlsberichte 2025 waren so umfangreich, dass sie die Aufmerksamkeit von Politik und Plattformen auf sich gezogen haben.

Vorfälle im Zusammenhang mit Softwaredistribution verstärken die Forderungen nach Kontrollen zur Integrität der Builds, darunter reproduzierbare Builds, Split-Key-Signaturen und klarere Rollback-Optionen im Notfall.

Für Wallet-Erweiterungen ist das kurzfristige praktische Ergebnis einfacher. Nutzer müssen entscheiden, ob sie jemals eine Seed-Phrase eingegeben haben, während 2.68 installiert war, denn diese einzelne Aktion bestimmt, ob ein Upgrade ausreicht oder ob sie Geheimnisse austauschen und Gelder bewegen müssen.

Der Hinweis von Trust Wallet bleibt, die 2.68-Erweiterung zu deaktivieren und über den Chrome Web Store auf 2.69 zu aktualisieren.

Nutzer, die während der Ausführung von 2.68 eine Seed-Phrase importiert oder eingegeben haben, sollten diese Seed als kompromittiert betrachten und ihre Vermögenswerte auf eine neue Wallet migrieren.

Trust Wallet hat inzwischen bestätigt, dass etwa 7 Millionen US-Dollar durch den Vorfall mit der v2.68 Chrome-Erweiterung betroffen waren und dass alle betroffenen Nutzer entschädigt werden.

In einer auf X veröffentlichten Erklärung teilte das Unternehmen mit, dass der Rückerstattungsprozess derzeit abgeschlossen wird und Anweisungen zu den nächsten Schritten „in Kürze“ folgen. Trust Wallet forderte die Nutzer außerdem auf, nicht auf Nachrichten zu reagieren, die nicht über die offiziellen Kanäle kommen, und warnte, dass Betrüger versuchen könnten, sich während der Fehlerbehebung als das Team auszugeben.

Der Beitrag Hidden script caught harvesting private keys as Trust Wallet issues emergency warning for Chrome users erschien zuerst auf CryptoSlate.