تراست والت از کاربران خواست افزونه گوگل کروم خود را بهروزرسانی کنند؛ زیرا یک «حادثه امنیتی» باعث از دست رفتن حدود ۷ میلیون دلار شده است. این مشکل نسخه ۲/۶۸ را تحت تاثیر قرار میدهد و به کاربران توصیه شده هرچه سریعتر به نسخه ۲/۶۹ ارتقا دهند. طبق اعلام شرکت، حدود یک میلیون کاربر از این افزونه استفاده میکنند.
تراست والت اعلام کرد حدود ۷ میلیون دلار تحت تاثیر قرار گرفته و همه کاربران آسیبدیده بازپرداخت میشوند. این شرکت تاکید کرد پشتیبانی از کاربران اولویت اصلی است و فرآیند جبران خسارت در حال نهایی شدن است. همچنین از کاربران خواسته شد با پیامهایی که از کانالهای رسمی شرکت نیستند تعامل نکنند. کاربران موبایل و سایر نسخههای افزونههای مرورگر تحت تاثیر قرار نگرفتهاند.
بررسیها نشان میدهد در نسخه ۲/۶۸ کد مخربی اضافه شده بود که همه کیفپولهای ذخیرهشده در افزونه را بررسی میکرد و برای هرکدام درخواست عبارت بازیابی میفرستاد. این عبارت رمزگذاریشده با رمز عبور واردشده هنگام باز کردن کیفپول رمزگشایی و سپس به سرور مهاجم ارسال میشد. دامنه مورد استفاده مهاجم در ۱۸ آذر ۲۰۲۵ ثبت و نخستین درخواستها از ۳۰ آذر ۲۰۲۵ آغاز شد. مهاجم از یک کتابخانه متنباز تحلیل داده برای جمعآوری اطلاعات کاربران استفاده کرده است.
داراییهای سرقتشده شامل حدود ۳ میلیون دلار بیتکوین، ۴۳۱ دلار سولانا و بیش از ۳ میلیون دلار اتریوم است. این وجوه از طریق صرافیهای متمرکز و پلهای میانزنجیرهای برای پولشویی و تبدیل جابهجا شده و صدها نفر قربانی شدهاند. بر اساس آخرین برآورد، حدود ۲/۸ میلیون دلار همچنان در کیفپولهای هکر باقی مانده و بیش از ۴ میلیون دلار به صرافیهای متمرکز منتقل شده است.
این رخداد ناشی از دستکاری مستقیم کد منبع داخلی افزونه بوده و نه وابستگی شخص ثالث آلوده. مهاجم پس از تغییر کد، از مسیر قانونی ابزار تحلیلی برای خروج دادهها و هدایت ترافیک به سرور تحت کنترل خود استفاده کرده است. شرکت احتمال داده این حمله کار یک بازیگر دولتی باشد و گفته میشود مهاجمان پیش از ۱۸ آذر ۲۰۲۵ به دستگاههای توسعهدهندگان مرتبط یا مجوزهای انتشار دسترسی یافتهاند.
چانگپنگ ژائو، همبنیانگذار بایننس که مالک این ابزار است، تلویحا گفت این سوءاستفاده «به احتمال زیاد» از داخل انجام شده، هرچند مدرکی ارائه نشد.
در بهروزرسانی بعدی، تراست والت از کاربران آسیبدیده خواست برای آغاز فرآیند جبران خسارت فرم پشتیبانی را تکمیل کنند و هشدار داد کلاهبرداریهایی با تبلیغات تلگرامی، فرمهای جعلی جبران خسارت و حسابهای پشتیبانی قلابی در جریان است. کاربران باید لینکها را بررسی کنند، هرگز عبارت بازیابی را به اشتراک نگذارند و فقط از کانالهای رسمی استفاده کنند.
مدیرعامل تراست والت اعلام کرد تحقیق در جریان است و این مشکل فقط کاربران افزونه کروم نسخه ۲/۶۸ را که پیش از ۵ دی ۲۰۲۵ ساعت ۱۱ به وقت UTC وارد شدهاند، شامل میشود. به گفته او، نسخه مخرب از مسیر انتشار دستی داخلی منتشر نشده و احتمالا با استفاده از کلید API فروشگاه کروم که افشا شده بود بارگذاری و پس از عبور از بررسیها در ۳ دی ۲۰۲۵ ساعت ۱۲:۳۲ به وقت UTC منتشر شده است. پس از کشف رخداد، دامنه مخرب تعلیق، همه APIهای انتشار منقضی و بازپرداخت قربانیان آغاز شد.