Ang TrustWallet na suportado ng Binance, isa sa pinakasikat na self-custody wallet sa crypto, ay nakaranas ng kakaibang pag-hack. Nakapag-intercept ang mga masasamang-loob ng seed phrases, na-restore ang mga wallet nang mag-isa at nagnakaw ng mahigit $7 milyon sa iba't ibang cryptocurrencies.
Narito kung paano na-hack ang TrustWallet, at bakit ito lubhang nakapinsala
Ngayong araw, Disyembre 26, 2025, ang TrustWallet, isang mainstream multichain crypto wallet, ay naatake ng hacker. Ayon sa isiniwalat ng mga eksperto sa cybersecurity, may malisyosong code — JavaScript payload — na itinanim sa v2.68.0 build ng browser extension ng TrustWallet para sa Google Chrome.
Na-deploy ang infected na Chrome extension v2.68.0 ng TrustWallet noong Disyembre 24, 2025. Kaagad pagkatapos nito, ang mga user na nag-import o nag-access ng kanilang seed gamit ang bersyong ito ay agad na nawalan ng pondo.
Teknikal, ang vector ng pag-atake ay ang mga sumusunod: ang malisyosong bahagi ng software ay kinilala ng wallet bilang analytics module. Sa halip, nagawa nitong ma-access ang mga seed phrase at ipadala ang mga ito sa mga domain na nilikha ilang araw bago ang pag-atake.
Upang maitago ito, ang mga domain ay pinangalanang "TrustWallet Metrics," "TrustWallet Metrics API" at mga katulad na titulo. Kasabay nito, kapag lumabas na ang mnemonics, agad na ni-restore ("in-import") ng masasamang-loob ang mga wallet sa kanilang sariling sistema at lehitimong winithdraw ang pondo.
Ginawang sobrang mapanganib at tahimik ng disenyo ng hack na ito; kapag nakuha ng mga masasamang-loob ang seed phrase, hindi na kailangan ng approval, authorization o kahit pagbubukas ng wallet. Kaya't ang tanging rekomendasyon ng mga eksperto sa seguridad ay i-offline ang mga computer na may TrustWallet mula sa internet.
Apektado ng pag-atake ang mga pondo sa Bitcoin (BTC), Solana (SOL), BNB Smart Chain (BSC) at ilang L2 sa EVM ecosystem.
Naglabas ng pahayag ang koponan ng TrustWallet: Mababayaran ba ang mga nawalang pondo?
Agad na ipinadala ang mga ninakaw na pondo sa ChangeNOW, FixedFloat, KuCoin at HTX. Sa simula, hindi agad matukoy ng mga user kung gaano karaming crypto ang nanakaw.
Ayon sa opisyal na pahayag ng TrustWallet, umabot sa $7 milyon ang kabuuang halaga ng mga nawala. Na-release na ng mga developer ang v2.69.0 build at hinihikayat ang lahat na mag-upgrade dito.
Tiniyak ng TrustWallet team na mababayaran ang bawat biktima. Ang eksaktong detalye ng compensation program ay iaanunsyo pa lamang.
Agad na bumaba ang presyo ng TWT sa $0.76, ang pinakamababa mula kalagitnaan ng Setyembre, na nawalan ng 8% sa maikling panahon. Sa oras ng pag-uulat, na-absorb na ang mga pagkalugi.
