Der Trust Wallet Hack im Dezember 2025, bei dem Kryptowährungen im Wert von rund 7 Millionen US-Dollar entwendet wurden, deckt kritische Schwachstellen auf, die auch für kryptofreundliche KMU relevant sind. Der Angriff verdeutlicht gemeinsame Risiken in der Krypto-Branche.
Zwischen dem 24. und 26. Dezember 2025 wurde die Chrome-Browser-Erweiterung von Trust Wallet durch ein bösartiges Update kompromittiert. Diese Version 2.68 enthielt schädlichen JavaScript-Code, der Wiederherstellungsphrasen und private Schlüssel von Nutzern stahl. Angreifer nutzten einen durchgesickerten Chrome Web Store API-Schlüssel, um die manipulierte Version zu veröffentlichen. Der Angriff wurde als Supply-Chain-Angriff klassifiziert, bei dem Software-Update-Mechanismen kompromittiert wurden.
Der Vorfall betraf 2.596 verifizierte Wallet-Adressen, mit einem Schaden von etwa 7 Millionen US-Dollar. Einige Quellen geben einen Schaden von 8,5 Millionen US-Dollar für 2.520 Adressen an.
Die Schwachstellen des Hacks sind auch für KMU relevant: Supply-Chain-Risiken durch die Kompromittierung von Drittanbieter-Tools, die übermäßige Abhängigkeit von Hot Wallets, die anfällig für Malware sind, und Schwächen bei Verifizierungsprozessen können erhebliche finanzielle und operative Risiken bergen. Zudem steigt nach solchen Vorfällen das Risiko für Phishing- und Social-Engineering-Angriffe.
Für die Speicherung größerer Krypto-Bestände werden Hardware-Wallets oder Offline-Speicher als risikoärmere Alternativen zu Browser-Wallets empfohlen. KMU sollten ihre Mitarbeiter und Nutzer für die Abwehr von Phishing- und Identitätsdiebstahlversuchen schulen, besonders in Zeiten nach Sicherheitsvorfällen.
Trust Wallet hat auf den Vorfall reagiert, indem die kompromittierte Version deaktiviert und eine sichere Version 2.69 veröffentlicht wurde. Das Unternehmen hat ein Erstattungsportal eingerichtet, und der Gründer von Binance und Eigentümer von Trust Wallet, Changpeng Zhao (CZ), bestätigte die Deckung der Verluste betroffener Nutzer.
