Am ersten Weihnachtsfeiertag 2025 erlitten Nutzer der Krypto-Wallet Trust Wallet erhebliche Verluste von rund 7 Millionen US-Dollar. Auslöser war eine kompromittierte Chrome-Erweiterung, die private Schlüssel entwendete.
Der Sicherheitsvorfall betraf ausschließlich die Trust Wallet Browser Extension Version 2.68 und ereignete sich in der Nacht vom 24. auf den 25. Dezember 2025. Ein scheinbar routinemäßiges Update enthielt bösartigen Code, der Seed-Phrasen oder private Schlüssel abfing, sobald Nutzer ihre Wiederherstellungsphrasen importierten. Die gestohlenen Kryptowährungen, primär Bitcoin, Ethereum und Binance Coin, wurden rasch auf verschiedene Börsen transferiert. Ein Nutzer verlor in nur vier Minuten 300.000 US-Dollar.
Die Domain metrics-trustwallet.com, an die Daten gesendet wurden, war nur Tage vor dem Angriff registriert worden und ist nicht mehr erreichbar.
Trust Wallet bestätigte den Vorfall und riet dringend zum Deaktivieren der betroffenen Version 2.68 sowie zum Update auf die Version 2.69. Changpeng Zhao, Gründer von Binance und Eigentümer von Trust Wallet, sicherte eine vollständige Kompensation für alle betroffenen Nutzer zu. Mobile-Nutzer und Nutzer anderer Browser-Erweiterungen blieben von diesem Hack verschont. Die Untersuchung zur Einreichung der bösartigen Erweiterung läuft noch.
Dieser Vorfall unterstreicht die Risiken von Browser-Erweiterungs-Wallets und reiht sich in die Krypto-Hacks des Jahres 2025 ein, das bis Dezember Verluste von 3,14 Milliarden US-Dollar verzeichnete. Experten empfehlen die sorgfältige Überprüfung von Software-Updates, die Implementierung von Multi-Signatur-Code-Signierungen und Audits.
Nutzer sollten Seed-Phrasen niemals online eingeben und für größere Beträge bevorzugt Hardware-Wallets oder mobile Apps verwenden.
