Trust Wallet startet Entschädigungsprogramm für Opfer von Browsererweiterungs-Hacks

Trust Wallet hat ein offizielles Entschädigungspaket für die Opfer eines Sicherheitsvorfallsdent seiner Chrome-Browsererweiterung aufgelegt. Die Plattform gab den Vorfall in einem Beitrag bekannt und wies darauf hin, dass in Version 2.68 der Software Schadcode eingebettet war. Der Wallet-Anbieter forderte die Nutzer auf, die schädliche Version zu deaktivieren und auf Version 2.69 zu aktualisieren.

Die offizielle Stellungnahme fiel zeitlich mit einem Update des On-Chain-Forschers ZachXBT zusammen, der EthereumdentHöhe von über 6 Millionen US-Dollar identifizierte. ZachXBT gab an, dass Hunderte von Wallets, darunter Ethereumund Bitcoin, Solanader Sicherheitslücke betroffen seien. Er merkte an, dass er sich nicht sicher sei, ob die Sicherheitslücke auch private Schlüssel kompromittiert habe, riet Nutzern aber dringend, neue Wallets zu erstellen.

Während einige Nutzer nur geringe Mengen an BTC verloren, gelang es dem Hacker, anderen Nutzern Tausende von Dollar zu stehlen.

Trust Wallet führt ein Entschädigungspaket für seine Nutzer ein

Trust Wallet teilte in einer Stellungnahme mit, dass betroffene Nutzer ihre Ansprüche nun über ein offizielles Supportformular auf dem Portal geltend machen können . Dafür müssen die Opfer des Hacks ihre E-Mail-Adresse, die kompromittierten Wallet-Adressen, ihr Wohnsitzland, die Empfangsadressen des Hackers sowie relevante Transaktionsdetails angeben.

Trust Wallet hat außerdem zugesagt, jeden von dem Vorfall betroffenen Nutzer zu entschädigen.

„Wir arbeiten rund um die Uhr an der Finalisierung der Details des Entschädigungsprozesses, und jeder Fall erfordert eine sorgfältige Überprüfung, um Genauigkeit und Sicherheit zu gewährleisten“, schrieb Trust Wallet auf X.

Der Wallet-Anbieter bestätigte, dass digitale Vermögenswerte im Wert von rund 7 Millionen US-Dollar aus verschiedenen Wallets auf mehreren Blockchains abgezweigt wurden. Laut dem Blockchain-Sicherheitsunternehmen PeckShield wurden mehr als 4 Millionen US-Dollar der gestohlenen Gelder über zentralisierte Börsen wie ChangeNOW, FixedFloat und KuCoin transferiert.

Das Blockchain-Sicherheitsunternehmen hob hervor, dass der Hacker laut letztem Update noch immer über 2,8 Millionen US-Dollar in seinen Wallets hält. Changpeng Zhao, Mitgründer und ehemaliger CEO von Binance, das Trust Wallet 2018 übernommen hatte, bestätigte auf X, dass das Unternehmen alle entstandenen Verluste decken wird.

„Bisher sind 7 Millionen Dollar von diesem Hack betroffen. TrustWallet wird den Schaden decken“, schrieb Zhao auf X und versicherte der Öffentlichkeit, dass die Gelder der Nutzer „in Sicherheit sind“

Eowyn Chen, CEO von Trust Wallet, wies im Zusammenhang mit der Sicherheitslücke darauf hin, dass Nutzer, die sich vor dem 26. Dezember um 11:00 Uhr UTC in die Erweiterung eingeloggt hatten, möglicherweise betroffen waren. Chen erwähnte, dass das Unternehmen im Zuge seiner Untersuchung feststellte, dass ein durchgesickerter API-Schlüssel des Chrome Web Store verwendet wurde, um am 24. Dezember um 12:32 Uhr UTC eine manipulierte Erweiterung zu veröffentlichen und so den internen Veröffentlichungsprozess des Unternehmens zu umgehen.

Hacker hatten es auf die Seed-Phrasen der Wallets von Nutzern abgesehen

Der Schadcode wurdedentvon SlowMist. Das Blockchain-Sicherheitsunternehmen gab an, dass er darauf ausgelegt war, Wallet-Seed-Phrasen mithilfe einer modifizierten Open-Source-Analysebibliothek auszulesen. Nutzer der mobilen App und anderer Versionen der Browsererweiterung waren von dem Vorfall nicht betroffendentDie Chrome-Erweiterung von Trust Wallet hat laut Web Store-Eintrag rund eine Million Nutzer.

Diese Entwicklung erfolgt zu einem Zeitpunkt, an dem Coinbase angekündigt hat, mehr als 400 Millionen Dollar an betroffene Nutzer zurückzuzahlen und weitere Schäden zu beheben, nachdem ein Supportmitarbeiter festgenommen wurde, der mit einem massiven Sicherheitsverstoß Anfang des Jahres in Indien in Verbindung gebracht wurde.

Die Festnahme wurde von Coinbase und der indischen Polizei bestätigt und erfolgt Monate, nachdem Hacker Supportmitarbeiter bestochen hatten, um Benutzerinformationen zu stehlen.

Bei dem im Mai begonnenen Datenleck forderten die Hacker ein Lösegeld von 20 Millionen Dollar, und das Unternehmen sah sich mit einem Schaden von 400 Millionen Dollar konfrontiert.

„Die Angreifer suchten nach Coinbase-Mitarbeitern undtracin Indien, die mit unseren Geschäftsprozess-Outsourcing- oder Support-Operationen in Verbindung standen, und bestachen diese, um an Kundendaten zu gelangen“, sagte Philip Martin, Chief Security Officer von Coinbase.