Trust Wallet erlitt über die Feiertage eine Supply-Chain-Attacke. Angreifern gelang es, den Code des beliebten Browser-Plugins zu verändern und als Update über offizielle Kanäle zu verbreiten. Arglose Nutzer installierten mit der Version 2.68 gleichzeitig auch eine Hintertür, die den Angreifern sensible Daten zur Verfügung stellte – darunter wohl auch den Zugang zum Seed und damit Vollzugriff auf ihre Kryptowährungen.
Aktuell ist noch ungeklärt, wie es den Angreifern gelingen konnte, schadhaften Code in die Wallet-Software einzuschleusen. Unabhängigen Quellen zufolge tarnten sie den Code als Analyse-Software, die per API die Seed-Phrasen beim Import auslas und übertrug. Der Server, der die Schadsoftware auslieferte, soll inzwischen nicht mehr erreichbar sein. Die dazugehörige Domain wurde von diversen Wallet-Anbietern auf eine Blacklist gesetzt, darunter auch MetaMask. Dadurch soll gewährleistet werden, dass Nutzer sie weder im Browser aufrufen können noch anderweitig Daten an die Domain übertragen.
Der Schaden beläuft sich auf über 7 Millionen US-Dollar und wie in solchen Fällen üblich, ist eine Community von Sicherheitsexperten auf der Jagd nach den gestohlenen Kryptowährungen. Auf diesem Weg wird das gestohlene Vermögen für den Täter unbrauchbar, weil die verwendeten Adressen gekennzeichnet werden. Versucht er beispielsweise, die Mittel auf eine Börse abzuziehen, können die Kryptos dort eingefroren werden.
Wie können sich Anwender jetzt schützen?
Laut Trust Wallet ist nur die Browser-Erweiterung in der Version 2.68 von der Attacke betroffen. Nutzer der Erweiterung sollten diese umgehend deaktivieren und ein Update auf Version 2.69 durchführen. Dabei sollte sichergestellt werden, dass ausschließlich der Chrome Web Store als Bezugsquelle für Trust Wallet genutzt wird.
Grundsätzlich empfiehlt es sich, Apps wie Trust Wallet mit einer Hardware Wallet zu kombinieren. Dadurch fungiert die Software nur noch als Interface und die Kryptowährungen bleiben sicher auf dem Hardware Wallet gespeichert. Ein Auslesen des Seeds – wie im Fall dieser Attacke – ist dann nicht möglich. Für Einsteiger empfehlen sich die Karten von Tangem als kostengünstige Möglichkeit. Wer mehr Budget für Hardware Wallets einplant, findet hochwertigere Geräte bei Herstellern wie Trezor oder Ledger.
Trust Wallet will den Schaden ersetzen
Trust Wallet wurde im Jahr 2018 von Binance übernommen, weshalb der Vorfall nicht nur für das Wallet, sondern auch für die Börse zu einem Imageproblem wird. Aus diesem Grund schaltete sich Binance-Gründer Changpeng „CZ“ Zhao via X ein und versprach, dass Trust Wallet alle betroffenen Nutzer entschädigen wird.
Um eine Erstattung zu erhalten, müssen betroffene Nutzer zunächst ein Support-Ticket erstellen. Wie die Prüfung der Ansprüche erfolgt und wie lange es dauern wird, bis eine Auszahlung stattfindet, lässt das Unternehmen jedoch offen.
Zudem warnt Trust Wallet vor gefälschten Webseiten im Zusammenhang mit dem Erstattungsprozess. Scheinbar posten Betrüger auf Social Media und in Chatprogrammen gefälschte Links, um Daten und Kryptowährungen von Betroffenen abzugreifen. Die offizielle Seite kann über diesen Link erreicht werden.
