L'estensione Trust Wallet da 7 milioni di dollari hackerata: tutto quello che devi sapere

Trust Wallet confermato che un aggiornamento dannoso dell'estensione ufficiale del browser Chrome ha portato al furto di circa 7 milioni di dollari di fondi degli utenti. La violazione ha interessato solo una versione dell'estensione, la versione 2.68, e ha coinvolto gli aggressori che hanno rubato frasi seed del portafoglio tramite codice dannoso incorporato. Secondo i rapporti, gli utenti di dispositivi mobili e le altre versioni del browser non sono stati interessati.

Cosa è successo con l'hacking dell'estensione Trust Wallet?

L'incidente è iniziato il 24 dicembre 2025, quando Trust Wallet ha rilasciato la versione 2.68.0 della sua estensione per Chrome. Inizialmente, gli utenti hanno segnalato perdite sparse. I wallet venivano svuotati poco dopo l'accesso o l'importazione tramite l'estensione. Quelli che sembravano casi isolati hanno rapidamente rivelato un problema più ampio.

Il giorno di Natale, l'investigatore on-chain ZachXBT rilasciato un avviso pubblico mentre i fondi rubati erano ancora in movimento sulla blockchain. Ha collegato i prosciugamenti del portafoglio direttamente all'aggiornamento v2.68. La sua analisi ha contribuito a stabilire che non si trattava di un errore dell'utente o di phishing, ma di un'estensione del browser compromessa.

Entro il 26 dicembre, Trust Wallet ha confermato la violazione. L'azienda ha dichiarato che solo la versione 2.68 era interessata e ha invitato gli utenti ad aggiornare immediatamente alla versione 2.69. L'estensione per Chrome conta circa un milione di utenti, secondo quanto riportato sul Chrome Web Store.

Trust Wallet ha successivamente confermato che circa 7 milioni di dollari in asset digitali sono stati rubati su più blockchain.

Quali utenti sono stati interessati?

Erano a rischio solo gli utenti che avevano installato o effettuato l'accesso all'estensione Chrome versione 2.68 di Trust Wallet prima del 26 dicembre alle 11:00 UTC.

Secondo Trust Wallet e i ricercatori di sicurezza:

• Gli utenti delle app mobili non sono stati interessati
• Le altre versioni delle estensioni del browser non sono state interessate
• I portafogli a cui si accede tramite la versione 2.68 potrebbero essere completamente compromessi

In molti casi, i wallet sono stati svuotati entro pochi minuti dallo sblocco dell'estensione o dall'importazione di una seed phrase. Centinaia di wallet sono stati interessati, inclusi indirizzi Bitcoin, Ethereum e Solana.

Il CEO di Trust Wallet, Eowyn Chen, ha confermato che gli utenti che hanno effettuato l'accesso durante il periodo interessato devono presumere che i loro portafogli siano stati esposti e generarne di nuovi.

Come funzionava il codice dannoso?

Secondo la società di sicurezza blockchain slowmist, l'attacco non è stato causato da una libreria di terze parti dannosa. Invece, l'aggressore ha modificato direttamente il codice dell'estensione di Trust Wallet. La logica dannosa era incorporata nel componente di analisi dell'estensione.

Scopri progetti promettenti...

Progetti promettenti...

(Annuncio pubblicitario)

L'articolo continua...

Ecco come funzionava:

• Il codice è stato iterato attraverso tutti i portafogli memorizzati nell'estensione
• Ha attivato una richiesta di frase mnemonica per ogni portafoglio
• Quando gli utenti sbloccavano il portafoglio, la frase seed crittografata veniva decrittografata
• Il mnemonico decrittografato è stato inviato a un server controllato dall'aggressore

I dati sono stati esfiltrati su api.metrics-trustwallet[.]com. Il dominio è stato registrato l'8 dicembre 2025. Le richieste al server sono iniziate il 21 dicembre, pochi giorni prima della pubblicazione dell'aggiornamento dannoso.

L'aggressore ha utilizzato come copertura una libreria di analisi open source legittima chiamata posthog-js. Invece di inviare i dati all'endpoint di analisi corretto, il traffico è stato reindirizzato al server dell'aggressore.

SlowMist ha affermato che si trattava di un compromesso interno del codice di base e non di una dipendenza avvelenata.

Come è stata pubblicata l'estensione compromessa?

L'indagine interna di Trust Wallet ha rilevato un errore critico nel processo di rilascio. Secondo il CEO Eowyn Chen, per pubblicare la versione dannosa è stata utilizzata una chiave API del Chrome Web Store trapelata.

L'estensione compromessa è stata caricata il 24 dicembre alle 12:32 UTC. Ciò ha eluso i normali controlli interni di Trust Wallet.

Ciò dimostra che l'aggressore non ha sfruttato direttamente gli utenti, ma ha sfruttato l'infrastruttura di distribuzione. Attacchi alla supply chain come questo sono più difficili da rilevare perché il software appare ufficiale e affidabile.

Quanto è stato rubato e dove sono finiti i fondi?

Trust Wallet e ricercatori indipendenti stimano che le perdite totali si aggirino intorno ai 7 milioni di dollari.

La ripartizione dei beni rubati noti include:

• Circa 3 milioni di dollari in Bitcoin
• Oltre 3 milioni di dollari in Ethereum
• Quantità minori in solario e altre attività

Secondo becco e ZachXBT, i fondi rubati sono stati rapidamente riciclati.

I movimenti principali includono:

• Circa 3.3 milioni di dollari inviati a ChangeNOW
• Circa $ 340,000 inviati a FixedFloat
• Circa $ 447,000 inviati a KuCoin

Oltre 4 milioni di dollari sono transitati attraverso gli exchange centralizzati. Secondo l'ultimo aggiornamento, circa 2.8 milioni di dollari rimanevano nei wallet controllati dall'aggressore.

Questo schema rispecchia altri casi di compromissione del portafoglio, in cui gli aggressori utilizzano servizi di scambio istantaneo e bridge per ridurre la tracciabilità.

Piano di risposta e compensazione di Trust Wallet

Trust Wallet ha implementato una soluzione rapida. Il 25 dicembre è stata rilasciata la versione 2.69 per rimuovere il codice dannoso. Gli utenti sono stati invitati a disattivare immediatamente la versione 2.68.

L'azienda ha inoltre avviato un programma di compensazione formale.

Gli utenti interessati possono inviare reclami tramite un modulo di supporto ufficiale sul sito web di Trust WalletIl processo richiede:

• Indirizzo email
• Paese di residenza
• Indirizzi wallet compromessi
• L'attaccante riceve gli indirizzi
• Hash delle transazioni rilevanti

Trust Wallet ha dichiarato che ogni richiesta verrà verificata individualmente.

"Stiamo lavorando senza sosta per definire i dettagli del processo di compensazione e ogni caso richiede un'attenta verifica per garantirne l'accuratezza e la sicurezza", ha affermato l'azienda.

Changpeng Zhao, co-fondatore ed ex CEO di Binance, che ha acquisito Trust Wallet nel 2018, ha confermato che le perdite saranno coperte.

Perché questo hack è importante per la sicurezza del portafoglio

Questo incidente evidenzia un rischio ricorrente nel settore delle criptovalute. Anche i wallet non custodial dipendono dai canali di distribuzione del software. Quando questi canali falliscono, gli utenti possono perdere tutto.

L'attacco hacker a Trust Wallet segue un modello più ampio già osservato in tutto il settore. All'inizio di quest'anno, Coinbase ha annunciato che avrebbe rimborsato oltre 400 milioni di dollari dopo un'altra violazione legata alla corruzione del personale di supporto in India.

Diversi metodi di attacco, stesso risultato. I presupposti di fiducia crollano ai margini.

Per gli utenti, ciò rafforza le regole di sicurezza di base:

• Trattare le estensioni del browser come software ad alto rischio
• Aggiornare immediatamente quando vengono rilasciate le correzioni
• Sposta i fondi se un portafoglio potrebbe essere compromesso
• Non riutilizzare mai le frasi iniziali esposte

Per i provider di wallet, la lezione riguarda la sicurezza del rilascio. Le chiavi API, le pipeline di build e le credenziali di archiviazione sono ora i principali obiettivi di attacco.

Conclusione

L'attacco hacker da 7 milioni di dollari all'estensione Trust Wallet è stato causato da una compromissione della supply chain, non da un errore dell'utente. Il codice dannoso incorporato nella versione 2.68 dell'estensione per Chrome ha raccolto frasi seed e prosciugato i portafogli su più blockchain. 

Rust Wallet ha risposto rimuovendo la versione interessata, rilasciando una correzione e impegnandosi a rimborsare completamente i danni. L'incidente sottolinea come le estensioni del browser rimangano una superficie di attacco critica nel settore delle criptovalute e perché sia ​​gli utenti che gli sviluppatori debbano considerare la sicurezza della distribuzione con la stessa serietà della gestione delle chiavi private.

Risorse

1. Portafoglio di fiducia su X: Annuncio del 26 dicembre

2. Post di Slowmist su X: Segnalazione dell'exploit di Trust Wallet

3. Post di PeckShield su X: Sfruttamento del portafoglio Trust