Nahuling script na nag-aani ng mga private key habang ang Trust Wallet ay naglabas ng pang-emergency na babala para sa mga gumagamit ng Chrome

Sinabi ng Trust Wallet sa mga user na i-disable ang Chrome browser extension version 2.68 matapos kilalanin ng kumpanya ang isang insidente sa seguridad at naglabas ng version 2.69 noong Disyembre 25, kasunod ng mga ulat ng wallet drains na may kaugnayan sa update ng Disyembre 24.

Ayon sa mga biktima at mga mananaliksik, nagsimulang mapansin ang mga pagnanakaw matapos ilabas ang 2.68. Ang mga unang pampublikong pagtataya ay naglagay ng kabuuang nawala sa pagitan ng $6 milyon hanggang mahigit $7 milyon sa iba’t ibang chain.

Ipinapakita ng Chrome Web Store listing ang Trust Wallet extension version 2.69 bilang “Updated: December 25, 2025,” na nagtatakda ng oras ng patch ng vendor sa mismong araw na mas lumawak ang balita tungkol sa insidente.

Ipinapakita rin sa parehong listahan ang humigit-kumulang 1,000,000 user. Ito ang nagsisilbing pinakamataas na posibleng abot ng insidente.

Nakadepende sa bilang ng mga taong nag-install ng 2.68 at naglagay ng sensitibong datos habang ito ay aktibo ang aktuwal na panganib.

Ang gabay ng Trust Wallet ay nakatuon sa browser extension release. Ayon sa media outlet, hindi apektado ang mga mobile user at iba pang bersyon ng extension.

Ang mga ulat hanggang ngayon ay nakatuon sa isang partikular na aksyon ng user sa panahon ng 2.68 window.

Ipinunto ng mga mananaliksik ang tumataas na panganib kaugnay ng update sa Trust Wallet browser extension

Ikinabit ng mga mananaliksik at tagasubaybay ng insidente ang pinakamalaking panganib sa mga user na nag-import o naglagay ng seed phrase pagkatapos mag-install ng apektadong bersyon. Ang isang seed phrase ay maaaring mag-unlock ng kasalukuyan at mga susunod pang address na nabuo mula rito.

Ipinahayag din ng media outlet na ang mga mananaliksik na nagsuri ng 2.68 bundle ay nakakita ng kahina-hinalang lohika sa isang JavaScript file, kabilang ang mga reference sa isang file na may label na “4482.js.”

Sabi nila maaaring magpadala ang lohika ng mga sikreto ng wallet sa isang external na host. Nagbabala rin ang mga mananaliksik na patuloy pang kinakalap ang mga teknikal na indikasyon habang inilalathala ng mga imbestigador ang kanilang mga natuklasan.

Ang parehong ulat ay nagbabala tungkol sa mga pangalawang scam, kabilang ang mga copycat na “fix” domains. Nilalayon ng mga ito na linlangin ang mga user upang ibigay ang kanilang recovery phrase sa pag-aakalang ito’y bahagi ng remedyo.

Para sa mga user, mahalaga ang pagkakaiba ng pag-upgrade at remediation.

Ang pag-update sa 2.69 ay maaaring magtanggal ng pinaghihinalaang malisyoso o hindi ligtas na pag-uugali mula sa extension sa mga susunod na paggamit. Ngunit hindi nito awtomatikong mapoprotektahan ang mga asset kung ang seed phrase o private key ay na-expose na.

Sa ganitong kaso, ang karaniwang hakbang ng incident response ay ilipat ang mga pondo sa bagong mga address na nalikha mula sa bagong seed phrase. Dapat ding suriin ng mga user at bawiin ang mga token approval kung maaari.

Dapat ituring ng mga user na kahina-hinala ang anumang sistema na gumamit ng nasabing phrase hanggang ito ay muling maitayo o mapatunayang malinis.

Maaari itong magdulot ng operasyonal na gastos para sa mga retail user. Kinakailangan ang muling pagtatatag ng mga posisyon sa iba’t ibang chain at aplikasyon.

Sa ilang kaso, kailangan ding mamili sa pagitan ng bilis at katumpakan kapag bahagi ng recovery path ang gas costs at mga panganib sa bridging.

Itinutok din ng insidenteng ito ang pansin sa trust model ng browser extension.

Nasa sensitibong bahagi ang mga extension sa pagitan ng web apps at signing flows

Anumang kompromiso ay maaaring tumarget sa parehong input na inaasahan ng mga user para tiyakin ang isang transaksyon.

Ang mga akademikong pag-aaral tungkol sa Chrome Web Store extension detection ay naglalarawan kung paano nakakaiwas sa automated review ang mga malisyoso o nakompromisong extension. Ipinapaliwanag din nito kung paano bumababa ang bisa ng detection habang nagbabago ang taktika ng umaatake sa paglipas ng panahon.

Ayon sa isang arXiv paper tungkol sa supervised machine-learning detection ng malisyosong extension, ang “concept drift” at ang pagbabago ng mga pag-uugali ay maaaring kumain ng bisa ng static na pamamaraan. Lalong nagiging kongkreto ang puntong ito kapag ang wallet extension update ay pinaghihinalaang kumukuha ng mga sikreto sa pamamagitan ng obfuscated client-side logic.

Ang susunod na mga pahayag ng Trust Wallet ang magtatakda ng hangganan kung paano malulutas ang istorya.

Ang isang vendor post-mortem na nagdodokumento ng root cause, naglalathala ng verified indicators (mga domain, hash, bundle identifier), at nagpapaliwanag ng saklaw ay makatutulong sa wallet providers, exchanges, at mga security team upang makabuo ng mas epektibong mga tsek at gabay para sa mga user.

Kung wala nito, kadalasang nananatiling pabago-bago ang kabuuang insidente. Maaaring mahuli ang ulat mula sa mga biktima, mapino ang on-chain clustering, at patuloy pang nililinaw ng mga imbestigador kung magkapareho ba ng infrastructure ang magkakahiwalay na drainer o opportunistic copycat lamang ito.

Ipinakita ng token markets ang balita sa pamamagitan ng galaw ngunit hindi nagkaroon ng iisang direksyong repricing.

Ipinapakita ng pinakahuling quoted figures para sa Trust Wallet Token (TWT) ang huling presyo na $0.83487, tumaas ng $0.01 (0.02%) mula sa nakaraang presyo. May intraday high na $0.8483 at intraday dip na $0.767355.

Patuloy pang nagbabago ang accounting ng nalugi. Ang kasalukuyang pinaka-pinanghahawakang tala ay ang $6 milyon hanggang mahigit $7 milyon na iniulat sa unang 48 hanggang 72 oras matapos kumalat ang 2.68.

Maari pang magbago ang saklaw na ito dahil sa karaniwang dahilan sa mga imbestigasyon ng pagnanakaw

Kabilang dito ang naantalang ulat ng biktima, muling pag-klasipika ng address, at mas pinabuting visibility sa cross-chain swaps at mga ruta ng cash-out.

Ang praktikal na forward range para sa susunod na dalawa hanggang walong linggo ay maaaring itakda bilang mga scenario na may kaugnayan sa measurable na mga variable. Kabilang dito kung ang compromise path ay limitado lamang sa seed entry sa 2.68, kung may karagdagang capture path na nakumpirma, at kung gaano kabilis naaalis ang mga copycat na “fix” lures.

Ang insidente ay nangyari sa gitna ng mas malawak na pagsusuri kung paano hinahawakan ng mga crypto software para sa retail ang mga sikreto sa mga general-purpose na device.

Ang mga ulat ng pagnanakaw noong 2025 ay sapat na kalakihan upang makatawag pansin ng mga gumagawa ng polisiya at mga platform.

Ang mga insidente na may kaugnayan sa pamamahagi ng software ay muling nagpapatibay ng panawagan para sa mga build integrity control, kabilang ang reproducible builds, split-key signing, at mas malinaw na rollback options kapag kailangan ng hotfix.

Para sa mga wallet extension, mas simple ang praktikal na kalalabasan sa ngayon. Kailangang tukuyin ng mga user kung kailanman ay naglagay sila ng seed phrase habang naka-install ang 2.68, dahil ang simpleng aksyong iyon ang magtatakda kung sapat na ang pag-upgrade o kailangan nilang baguhin ang mga sikreto at ilipat ang pondo.

Nanatiling gabay ng Trust Wallet ang i-disable ang 2.68 extension at mag-upgrade sa 2.69 mula sa Chrome Web Store.

Ang mga user na nag-import o naglagay ng seed phrase habang pinapatakbo ang 2.68 ay dapat ituring na compromised ang seed na iyon at ilipat ang mga asset sa isang bagong wallet.

Kumpirmado na ng Trust Wallet na humigit-kumulang $7 milyon ang naapektuhan sa insidente ng v2.68 Chrome extension at ire-refund nila ang lahat ng apektadong user.

Sa isang pahayag na ipinalabas sa X, sinabi ng kumpanya na tinatapos na nila ang refund process at magbabahagi ng instruksyon sa mga susunod na hakbang “sa lalong madaling panahon.” Hinimok din ng Trust Wallet ang mga user na huwag makipag-ugnayan sa mga mensahe na hindi galing sa kanilang opisyal na channel, babala na maaaring subukan ng mga scammer na magpanggap bilang bahagi ng team habang isinasagawa ang remediation.

Ang artikulong Hidden script caught harvesting private keys as Trust Wallet issues emergency warning for Chrome users ay unang lumabas sa CryptoSlate.