Trust Wallet wezwał użytkowników do natychmiastowej aktualizacji rozszerzenia Google Chrome po wykryciu „incydentu bezpieczeństwa”, w wyniku którego utracono około 7 mln USD (ok. 29,4 mln zł). Firma poinformowała, że problem dotyczy wersji rozszerzenia 2.68 i że użytkownicy powinni jak najszybciej przełączyć się na wersję 2.69. W sklepie Chrome Web Store rozszerzenie ma około miliona użytkowników.
W komunikacie opublikowanym na X Trust Wallet zadeklarował, że około 7 mln USD zostało dotknięte atakiem i że priorytetem firmy jest zwrot środków poszkodowanym: „Zapewnienie wsparcia dla poszkodowanych użytkowników jest naszym najwyższym priorytetem i aktywnie finalizujemy proces zwrotu środków” — napisano. Serwis jednocześnie apeluje, by nie wchodzić w interakcje z wiadomościami, które nie pochodzą z oficjalnych kanałów. Firma podkreśliła, że użytkownicy mobilni oraz inne wersje rozszerzenia przeglądarkowego nie są dotknięci problemem.
Analiza firmy bezpieczeństwa SlowMist ujawniła, że w wersji 2.68 wprowadzono złośliwy kod, który przechodzi przez wszystkie portfele zapisane w rozszerzeniu i wywołuje prośbę o frazę mnemoniczną dla każdego z nich. Zaszyfrowana mnemonic jest następnie odszyfrowywana przy użyciu hasła lub passkeya wpisanego podczas odblokowywania portfela, po czym fraza jest przesyłana na serwer atakującego pod adresem api.metrics-trustwallet[.]com.
Doména „metrics-trustwallet[.]com” została zarejestrowana 8 grudnia 2025 r., a pierwszy ruch do „api.metrics-trustwallet[.]com” odnotowano 21 grudnia 2025 r. Dalsza analiza wykazała, że atakujący wykorzystali otwartoźródłową bibliotekę analityczną posthog-js jako kanał do wyprowadzania danych użytkowników portfeli.
Skutki kradzieży obejmują około 3 mln USD w Bitcoinie (ok. 12,6 mln zł), 431 USD w Solanie (ok. 1 810 zł) oraz ponad 3 mln USD w Ethereum (ponad 12,6 mln zł). Zidentyfikowano, że skradzione aktywa były przekazywane przez scentralizowane giełdy i mosty międzyłańcuchowe w celu prania i zamiany walut. Śledczy blockchain, w tym użytkownik ZachXBT, wskazują, że ofiar jest setki.
Według aktualizacji podanej przez PeckShield, około 2,8 mln USD (ok. 11,8 mln zł) wciąż znajduje się w portfelach hakera, natomiast większość — ponad 4 mln USD (powyżej 16,8 mln zł) — została wysłana na scentralizowane giełdy: około 3,3 mln USD (ok. 13,9 mln zł) do ChangeNOW, około 340 000 USD (ok. 1,43 mln zł) do FixedFloat oraz około 447 000 USD (ok. 1,88 mln zł) do KuCoin.
SlowMist podkreślił, że incydent był wynikiem modyfikacji źródła rozszerzenia Trust Wallet (logika analityczna) i nie był spowodowany wstrzyknięciem złośliwej zależności zewnętrznej (np. pakietu npm). Innymi słowy, atakujący bezpośrednio zmienili kod aplikacji, a następnie wykorzystali legalną bibliotekę PostHog jako kanał do wyprowadzania danych, przekierowując ruch analityczny na serwer kontrolowany przez napastników.
Firma dodała, że nie wyklucza udziału aktora państwowego i że atakujący mogli uzyskać kontrolę nad urządzeniami deweloperów związanych z Trust Wallet lub posiadać uprawnienia do wdrożeń przed 8 grudnia 2025 r. Changpeng Zhao, współzałożyciel giełdy Binance, właściciela narzędzia, zasugerował na X, że exploit mógł zostać najprawdopodobniej przeprowadzony przez osobę z wewnątrz, lecz nie przedstawił dowodów potwierdzających tę hipotezę.
Dla użytkowników kluczowa praktyczna wskazówka to natychmiastowa aktualizacja rozszerzenia Chrome do wersji 2.69 oraz ostrożność wobec nieoficjalnych wiadomości i żądań danych. Trust Wallet zapowiada procedury zwrotu dla osób, których środki zostały skradzione, a śledztwo w sprawie źródeł incydentu nadal trwa.
