Een update van de browserextensie van Trust Wallet gaf hackers toegang tot de cryptoportefeuilles van gebruikers. Zo'n 7 miljoen dollar aan crypto verdween op die manier.

Trust Wallet-hack via browserextensie: 7 miljoen dollar crypto verdwenen – en toen kwam de phishing

Een gecompromitteerde update van de Trust Wallet Chrome-extensie gaf hackers toegang tot cryptoportefeuilles. Zo’n 7 miljoen dollar verdween in enkele dagen. Alsof dat niet erg genoeg was, zetten criminelen ook nog phishingsites op die beloofden te helpen, maar slachtoffers nóg verder leeghaalde. Trust Wallet belooft compensatie, maar de schade is al geleden.

Kerstavond 2024 werd voor veel Trust Wallet-gebruikers geen stille nacht, maar een nachtmerrie. Een kwaadaardige update van de Chrome-browserextensie van Trust Wallet – versie 2.68, uitgerold op 24 december – bleek gecompromitteerd. Hackers kregen toegang tot cryptoportefeuilles en haalden die leeg. Naar schatting verdween 7 miljoen dollar aan cryptocurrency. En alsof dat niet genoeg was, doken er ook nog phishingsites op die beloofden het probleem op te lossen, maar in werkelijkheid slachtoffers nóg verder uitmelkten. Van de regen in de drup, letterlijk.

Trust Wallet: handig, maar kwetsbaar

Trust Wallet is een populaire crypto-wallet waarmee gebruikers verschillende cryptocurrencies kunnen opslaan, beheren en verhandelen. Het bestaat als mobiele app, maar ook als Chrome-extensie die interactie mogelijk maakt met gedecentraliseerde applicaties (dApps). Die dApps draaien op blockchains of peer-to-peer-netwerken in plaats van centrale servers, wat in theorie meer transparantie, veiligheid en censuurresistentie zou moeten bieden.

Maar zoals dit incident laat zien, is “meer veiligheid” geen garantie. Want als de extensie zelf wordt gecompromitteerd, helpt decentralisatie je geen zier. Je crypto staat misschien op een blockchain, maar toegang tot die blockchain verloopt via software – en die software kan worden gehackt.

Browserextensies zijn sowieso een zwak punt in crypto-beveiliging. Ze hebben brede toegang tot je browsersessies, kunnen wachtwoorden en privésleutels onderscheppen, en updaten automatisch zonder dat gebruikers daar veel controle over hebben. Dat maakt ze een ideaal doelwit voor aanvallers. En Trust Wallet is niet het eerste slachtoffer – en zal ook niet het laatste zijn.

Kerstupdate met kwaadaardige code

Op 24 december rolde Trust Wallet versie 2.68 uit voor zijn Chrome-extensie. Wat gebruikers niet wisten: die update bevatte kwaadaardige code. Hoe die code erin kwam, is nog onduidelijk. Mogelijk werd het ontwikkelaarsaccount van Trust Wallet gehackt, of misschien werd de update onderschept tijdens distributie. Trust Wallet heeft daar nog geen duidelijkheid over gegeven – en dat gebrek aan transparantie is op zich al zorgwekkend.

Wat we wel weten: zodra gebruikers de update installeerden, konden hackers toegang krijgen tot hun portefeuilles. Privésleutels – de digitale “wachtwoorden” die toegang geven tot je crypto – werden gestolen. En wie eenmaal toegang heeft tot een privésleutel, kan de hele portefeuille leegmaken. Er is geen “wachtwoord vergeten”-knop bij cryptocurrency. Eenmaal weg, is het weg.

Op sociale media stroomden de klachten binnen. Gebruikers meldden dat hun portefeuilles leeg waren, soms tienduizenden of zelfs honderdduizenden dollars. Beveiligingsbedrijf PeckShield Alert schatte de totale schade op meer dan 6 miljoen dollar. Trust Wallet-eigenaar Changpeng Zhao – de voormalige CEO van Binance – corrigeerde dat later naar 7 miljoen dollar.

Phishing bovenop de hack: een dubbele klap

Alsof het verliezen van je crypto door een gehackte extensie niet erg genoeg is, doken er ook nog phishingsites op die beweerden slachtoffers te kunnen helpen. BleepingComputer ontdekte meerdere domeinen die zich voordeden als officiële Trust Wallet-hulppagina’s, met instructies om “je portefeuille te herstellen” of “de kwetsbaarheid te verhelpen”.

Natuurlijk was dat oplichterij. De sites vroegen om privésleutels of seed phrases – de recovery codes waarmee je toegang kunt herstellen tot je wallet. Wie die invoerde, gaf hackers nóg meer toegang, en werd voor een tweede keer leeggeroofd. Het is een klassieke dubbelslag: eerst hack je de extensie, en dan buit je de paniek uit die daarop volgt.

Voor slachtoffers die al hun crypto kwijt waren, was dit de ultieme vernedering. Niet alleen werd je bestolen, maar toen je probeerde te herstellen, werd je opnieuw opgelicht. Het onderstreept hoe meedogenloos de crypto-ondermijnende wereld is. Er is geen klantenservice die je belt, geen bank die fraude terugdraait. Je bent op jezelf aangewezen, en criminelen weten dat maar al te goed.

Trust Wallet belooft compensatie – maar kan dat wel?

Changpeng Zhao, de eigenaar van Trust Wallet, reageerde op X (voorheen Twitter) met de belofte dat alle verliezen zullen worden vergoed. Dat klinkt nobel, maar roept ook vragen op. Hoe gaat dat in zijn werk? Wordt iedereen volledig gecompenseerd, of alleen degenen die kunnen bewijzen dat ze getroffen zijn? En hoe bepaal je wie legitiem slachtoffer is, en wie liegt om compensatie te krijgen?

Bovendien: 7 miljoen dollar is veel geld, zelfs voor Binance (het bedrijf achter Trust Wallet). Kan en wil Zhao dat daadwerkelijk betalen? En zo ja, uit welk budget? Gaat dat ten koste van andere gebruikers, of is er een verzekeringsfonds?

Dit is niet de eerste keer dat Zhao belooft slachtoffers te compenseren. Maar beloftes zijn gemakkelijk. De uitvoering is moeilijker. En tot het geld daadwerkelijk terug is op de rekeningen van slachtoffers, blijft het een loze belofte.

Browserextensies: de zwakke schakel in crypto-beveiliging

Dit incident is opnieuw bewijs dat browserextensies een enorm beveiligingsrisico zijn, vooral in de cryptowereld. Zodra je een extensie installeert, geef je die uitgebreide toegang tot je browser – en dus tot alles wat je daar doet. Inclusief het beheren van je cryptoportefeuille.

Het probleem is dat extensies automatisch updaten. Je hebt daar als gebruiker weinig controle over. En als een update gecompromitteerd is – zoals hier – installeer je eigenlijk malware, zonder dat je dat doorhebt.

Cryptocurrency-gebruikers worden vaak aangeraden om hardware wallets te gebruiken – fysieke apparaten die privésleutels offline opslaan. Die zijn veel veiliger dan browserextensies of mobiele apps. Maar hardware wallets zijn duurder en minder gebruiksvriendelijk, vooral voor wie regelmatig handelt of interacteert met dApps. Dus veel mensen kiezen voor het gemak van een browserextensie – en nemen daarmee risico’s.

Trust Wallet is niet de eerste crypto-wallet die via een browserextensie wordt gehackt, en het zal niet de laatste zijn. Eerdere incidenten met MetaMask, Phantom en andere wallets laten hetzelfde patroon zien: hackers richten zich op extensies omdat die toegang geven tot grote hoeveelheden crypto, met relatief weinig moeite.

Wat kunnen gebruikers doen?

Voor wie Trust Wallet gebruikt (of andere crypto-extensies), zijn de lessen duidelijk:

  1. Update naar versie 2.69: Trust Wallet heeft een nieuwe, schone versie uitgebracht. Wie nog op 2.68 zit, moet die onmiddellijk uitschakelen en upgraden.
  2. Overweeg een hardware wallet: Voor wie serieuze bedragen in crypto heeft, is een Ledger of Trezor hardware wallet veel veiliger dan een browserextensie.
  3. Wees alert op phishing: Als er een hack is, duiken er altijd oplichters op die beweren te helpen. Vertrouw alleen officiële bronnen, en deel nooit je privésleutels of seed phrase met iemand.
  4. Gebruik multisig of 2FA waar mogelijk: Extra beveiligingslagen kunnen helpen, ook al zijn ze niet waterdicht.
  5. Spreek je crypto over meerdere wallets: Houd niet alles op één plek. Als één wallet wordt gehackt, ben je niet alles kwijt.

Maar uiteindelijk is de verantwoordelijkheid niet alleen van gebruikers. Trust Wallet en andere wallet-providers moeten hun beveiliging op orde hebben. Als een update gecompromitteerd wordt, is dat een falen van het bedrijf – niet van de gebruiker.

Conclusie: crypto blijft het wilde westen

De Trust Wallet-hack is opnieuw een harde les in de risico’s van cryptocurrency. Decentralisatie en blockchain-technologie bieden voordelen, maar lossen niet alle problemen op. Integendeel: ze creëren nieuwe kwetsbaarheden. En zolang browserextensies de belangrijkste manier blijven om te interacteren met crypto, blijven gebruikers kwetsbaar.

Changpeng Zhao’s belofte om slachtoffers te compenseren is mooi, maar lost het structurele probleem niet op. Trust Wallet moet uitleggen hoe dit kon gebeuren, welke maatregelen er zijn genomen om herhaling te voorkomen, en hoe ze slachtoffers daadwerkelijk gaan compenseren.

Voor gebruikers is de boodschap helder: wees voorzichtig, gebruik hardware wallets waar mogelijk, en vertrouw niet blind op browserextensies. Want in de cryptowereld is er geen vangnet. Eenmaal weg, is je geld weg. En dat is een harde realiteit waar geen belofte van compensatie iets aan verandert.

Leave a Reply

Je e-mailadres zal niet getoond worden. Vereiste velden zijn gemarkeerd met *

Trending

Windows 11-bug verbergt wachtwoord-knop
Windows 11-bug verbergt wachtwoord-knop: onhandig, maar typerend voor Microsoft’s kwaliteitscontrole
Dell - Microsoft Windows
Dell: mensen weigeren massaal Windows 11, zelfs als hun pc het aankan – en dat zegt genoeg
Netflix legt casten verder aan banden
Netflix blokkeert casten: “betere ervaring” of gewoon meer controle (en advertenties)?
OnePlus zet AI-schrijftool uit na controverse over geblokkeerde vragen