Bevestigd: Beveiligingsincident bij Trust Wallet kost gebruikers miljoenen

Eerste kerstdag was niet voor iedereen een feestdag. Gisteren explodeerden sociale media namelijk met berichten over een grootschalig security incident bij Trust Wallet.

Blockchain-onderzoeker ZachXBT sloeg als eerste alarm via Telegram: honderden gebruikers meldden dat fondsen uit hun wallets verdwenen, met een totaal verlies van meer dan $6 miljoen in SOL, EVM-tokens en BTC.

De incidenten begonnen kort na een update van de Trust Wallet Chrome browser extension (versie 2.68, uitgebracht op 24 december). Veel slachtoffers rapporteerden dat wallets leegliepen zodra hun seed phrase werd geïmporteerd in de nieuwe versie.

Officiële reactie van Trust Wallet

Trust Wallet bevestigde het incident op X:

Alleen browser extension versie 2.68 is getroffen.
Gebruikers moeten deze versie onmiddellijk uitschakelen en upgraden naar versie 2.69 via de officiële Chrome Web Store.
Mobile app en andere extension-versies zijn niet getroffen.
Het team onderzoekt actief en belooft updates.

ZachXBT vraagt zich hardop af of Trust Wallet slachtoffers zal compenseren als blijkt dat de wallet verantwoordelijk is. Tot op heden is hier nog geen duidelijkheid over.

Vermoedelijke oorzaak: Supply-chain gecompromitteerd

Onderzoekers (o.a. op X) wijzen op een mogelijke supply-chain aanval:

De update introduceerde verborgen code die walletdata (waaronder seed phrases) stilletjes exfiltreert, vermomd als analytics.
Data wordt verstuurd naar een nep-domein dat lijkt op officiële Trust Wallet-infrastructuur (inmiddels offline).
Activering gebeurt bij seed phrase-import – balansen drogen op binnen minuten.

Dit is geen phishing of user error, maar een stukje code in de officiële update – een ernstig incident voor een wallet met miljoenen gebruikers.

Advies voor gebruikers

Als je versie 2.68 gebruikt: disable meteen, upgrade naar 2.69, en verplaats fondsen naar een nieuwe wallet (nieuwe seed!).
Revoke approvals en check transacties op verdachte activiteit.
Gebruik bij voorkeur hardware wallets of de mobile app voor grote bedragen.
Importeer nooit seed phrases in browser extensions tenzij absoluut noodzakelijk.

Impact en context

Verliezen: >$6 miljoen, honderden slachtoffers.
Trust Wallet (Binance-owned) heeft nog geen volledige oorzaak of compensatie bevestigd.
Dit onderstreept risico's van browser-based hot wallets – vooral extensions zijn kwetsbaar voor supply-chain attacks.

Blijf alert: crypto-security is jouw verantwoordelijkheid. Wacht op officiële updates van Trust Wallet en volg betrouwbare bronnen zoals ZachXBT. Mobile gebruikers lijken veilig, maar voorzichtigheid blijft geboden.