CZ nach Trust-Wallet-Hack: 7 Mio. US-Dollar Schaden – Nutzerfonds werden vollständig ersetzt

• Trust Wallet hat nach einem Sicherheitsvorfall am 25. Dezember rund 7 Millionen US-Dollar in verschiedenen Kryptowährungen verloren und den Hack offiziell bestätigt.
• Ex-Binance-CEO Changpeng „CZ“ Zhao erklärte, Trust Wallet werde den Schaden übernehmen und betonte, Nutzervermögen seien „SAFU“, während die Ermittlungen zur manipulierten App-Version weiterlaufen.

Nach Tagen unruhiger Spekulationen liegt nun eine klarere Lageeinschätzung zum jüngsten Trust-Wallet-Hack vor. Wie das Team bestätigt hat, wurden am 25. Dezember etwa 7 Millionen US-Dollar in Bitcoin, Ethereum, BNB und weiteren Assets aus Nutzerwallets abgezogen.

Auffällig ist der zeitliche Ablauf: Bereits am 24. Dezember war eine Schwachstelle in der Browser-Erweiterung (Version 2.68) identifiziert worden. Kurz darauf tauchte eine neue, kompromittierte Version auf, über die Angreifer offenbar in der Lage waren, Transaktionen zu initiieren beziehungsweise Private Keys oder Signaturen abzugreifen.

Die genaue technische Angriffskette ist noch nicht vollständig öffentlich dokumentiert, doch intern wird vor allem untersucht, wie es der Gruppe gelingen konnte, eine manipulierte Version überhaupt zur Verteilung zu bringen.

CZ verspricht Kompensation – Vertrauen soll gehalten werden

Changpeng Zhao, Gründer von Binance und Investor in Trust Wallet, meldete sich auf X mit einer klaren Botschaft zu Wort: „Bislang sind 7 Mio. US-Dollar von diesem Hack betroffen. Trust Wallet wird das abdecken. User funds are SAFU.“ Nutzer sollen entschädigt werden; Details zu der Abwicklung stehen noch aus.

Zhao dankte den Nutzern für ihr Verständnis und sprach von möglichen Unannehmlichkeiten durch zusätzliche Sicherheitsprüfungen und Updates. Parallel arbeitet das Trust-Wallet-Team an forensischer Aufarbeitung und zusätzlicher Härtung der Release- und Signaturprozesse, um zu verhindern, dass Angreifer erneut in die Update-Kette eingreifen können.

Für die Community bleibt der Vorfall ein weiterer Hinweis, dass auch non-custodial Wallets nicht nur auf Private-Key-Ebene, sondern vor allem in ihrer Software-Supply-Chain robust abgesichert werden müssen – gerade dann, wenn sie millionenfach im Browser installiert sind.