Zatiaľ čo väčšina sveta počas vianočných sviatkov oddychovala a rozbaľovala darčeky, tisíce používateľov kryptomien prežívali hororový scenár. Tentoraz nešlo o chybu používateľa ani o kliknutie na podvodný odkaz – hackeri sa dostali priamo do “srdca” systému a zneužili oficiálnu aktualizáciu, ktorej všetci dôverovali.
Decembrový incident Trust Wallet nie je len ďalším hackom v poradí; je to varovný prst pre celý priemysel, ktorý ukazuje, aké zraniteľné môžu byť aj tie najdôveryhodnejšie nástroje, ak zlyhá ochrana dodávateľského reťazca.
Útok na dodávateľský reťazec: Keď je nepriateľom “oficiálna” verzia
Kritická chyba, ktorá viedla k odcudzeniu miliónov, sa netýkala samotného blockchainu. Išlo o sofistikovaný supply chain attack (útok na dodávateľský reťazec). Útočníkom sa podarilo kompromitovať Google Chrome Web Store účet vývojárov Trust Wallet.
Čo sa presne stalo?
V rozmedzí 24. až 26. decembra 2025 útočníci nahrali do oficiálneho obchodu Google Chrome škodlivú verziu rozšírenia peňaženky s označením verzia 2.68.
Vďaka získaným API kľúčom dokázali obísť štandardné bezpečnostné kontroly a doručiť túto “aktualizáciu” priamo do prehliadačov nič netušiacich používateľov.
Mechanizmus krádeže bol mrazivo jednoduchý:
- Útočníci do kódu vložili škodlivý skript, ktorý sa maskoval ako analytický nástroj (využívali modifikovanú knižnicu
posthog-js). - Tento skript čakal na moment, kedy používateľ odomkne svoju peňaženku alebo zadá heslo.
- Akonáhle k tomu došlo, skript okamžite odoslal seed frázu (privátne kľúče) na externý server útočníkov (
api.metrics-trustwallet.com). - S týmito kľúčmi mali hackeri plnú kontrolu nad prostriedkami obetí.
Dôležité upozornenie: Tento útok sa týkal výhradne rozšírenia pre prehliadač Google Chrome. Používatelia mobilných aplikácií (iOS a Android) neboli ohrození.
Dopad: Milióny preč za pár hodín
Rozsah škôd bol značný, najmä vzhľadom na krátke časové okno, počas ktorého bol útok aktívny. Podľa on-chain analýz a potvrdení od bezpečnostných firiem:
- Bolo odcudzených približne 8,5 milióna USD v rôznych kryptomenách (BTC, ETH, SOL a ďalšie).
- Útok zasiahol odhadom 2 520 až 3 000 unikátnych peňaženiek.
Komunita reagovala zdesením, pretože obete neurobili žiadnu chybu – iba používali softvér stiahnutý z oficiálneho zdroja.
Reakcia Trust Wallet: Okamžitá záplata a sľub odškodnenia
Tím Trust Wallet (vlastnený burzou Binance) zareagoval relatívne rýchlo. Po identifikácii hrozby bola vydaná opravná verzia 2.69, ktorá odstránila škodlivý kód a zaplátala bezpečnostnú dieru. Spoločnosť spolupracovala s bezpečnostnými expertmi na znefunkčnení serverov útočníkov.
Čo je však pre obete najdôležitejšie, Trust Wallet sa verejne zaviazal k plnému odškodneniu. CEO spoločnosti potvrdil, že všetci používatelia, ktorí prišli o prostriedky v dôsledku tohto špecifického incidentu, dostanú svoje peniaze späť. Tento krok je v krypto svete skôr vzácnosťou a pomohol zmierniť reputačné škody.
Tento incident nám pripomína staré pravidlo: Pre ukladanie väčšieho množstva prostriedkov je najbezpečnejšou voľbou hardvérová peňaženka (napr. Trezor alebo Ledger), ktorá drží vaše kľúče offline a mimo dosahu infikovaných rozšírení prehliadača.
