Wir teilen ein Update zum Stand der Dinge bezüglich des Vorfalls mit der Browsererweiterung v2.68. 1/ Unsere aktuelle Hypothese, wie dieser Angriff stattgefunden hat und was dies für die gesamte Branche bedeutet. Alle Details sind im Blog zu finden:

2/ Wir sehen diesen Vorfall nicht nur als eine kritische Lektion für Trust Wallet, sondern auch als einen potenziellen Wendepunkt für die gesamte Branche. Da Angriffe auf die Lieferkette immer ausgeklügelter werden und ein kollektives Bewusstsein sowie stärkere Schutzmaßnahmen erfordern.

3/ Was passiert ist: Am 24. Dezember 2025 Eine extern vorbereitete, unautorisierte und bösartige Version der Trust Wallet Browsererweiterung v2.68 wurde im Chrome Web Store veröffentlicht, außerhalb unseres standardmäßigen Veröffentlichungs- und Überprüfungsprozesses. Diese Version enthielt bösartigen Code, der, wenn er geladen wurde, dem Angreifer den Zugriff auf sensible Wallet-Daten ermöglichte und Transaktionen ohne Benutzerautorisierung ausführte.

5/ Während unsere forensische Untersuchung noch läuft, glauben wir, dass dies eine neue Klasse von Angriffen auf die Software-Lieferkette darstellen könnte. Wir werden weiterhin Updates teilen und hoffen, dass diese Erkenntnisse der Branche helfen, ähnliche Risiken besser zu erkennen und zu mindern.

6/ Sicherheit hat oberste Priorität. Parallel zur Untersuchung haben wir aktiv an Folgendem gearbeitet: Reaktion auf Vorfälle Wir haben bereits zusätzliche Sicherheitsmaßnahmen und Kontrollen rund um Folgendes implementiert: - Veröffentlichungen von Browsererweiterungen - Zugriff auf das Veröffentlichungssystem und -werkzeuge - Überwachung zur Verhinderung ähnlicher Vorfälle Zusätzliche Sicherheitsverstärkung Wir lenken die Aufmerksamkeit auf bestehende Sicherheitspraktiken von Trust Wallet: - Anwendungs-Publishing-Pipelines, Abhängigkeitsprüfung, Versionskontrolle und Schutz der Lieferkette - Globale Zugriffskontrollen, Credential-Management und Rotationsrichtlinien - Sichtbarkeit und Nachvollziehbarkeit über Veröffentlichungs- und Publishing-Workflows zur Verbesserung der Erkennung anomaler Aktivitäten - Prozesse zur Erkennung, Überwachung, Reaktion und Kommunikation bei Vorfällen, um schnellere Maßnahmen und größere Transparenz zu ermöglichen.

7/ Vielen Dank an unsere Community für eure Wachsamkeit, Unterstützung und Rückmeldungen, während wir dies gemeinsam durchstehen. Wir erkennen die Auswirkungen dieses Vorfalls auf unsere Community und die betroffenen Nutzer an und schätzen eure Geduld, während unser Team weiterhin die Ermittlungen durchführt und den Rückerstattungsprozess umsetzt.

Bitte seien Sie sich der Nachahmer bewusst. Dies ist der letzte Tweet dieses Threads.