Trust Wallet: 8,5 Millionen Euro durch Schadsoftware-Update gestohlen

Ein gezielter Angriff auf die Entwicklerpipeline des Krypto-Wallet-Anbieters Trust Wallet hat zu einem massiven Diebstahl von Nutzergeldern geführt. Die als “Shai-Hulud” bekannte Schadsoftware erbeutete Zugangsschlüssel und spielte ein infiziertes Browser-Update aus. Die Folgen sind ein Vertrauensverlust in die gesamte DeFi-Branche und eine dringende Warnung vor neuen Angriffsmustern.

Die Sicherheitslücke entstand nicht durch einen direkten Hack auf die Server, sondern durch einen raffinierten Supply-Chain-Angriff. Dabei kompromittierten die Angreifer den Arbeitsplatz eines Entwicklers. Die selbstreplizierende Malware mit dem Codenamen “Shai-Hulud” – inspiriert von den riesigen Sandwürmern aus dem Sci-Fi-Epos Dune – stahl API-Schlüssel für den Chrome Web Store und GitHub-Zugangsdaten.

Mit diesen gestohlenen Berechtigungen konnten die Täter die üblichen Sicherheitsprüfungen umgehen. Zwischen dem 24. und 26. Dezember 2025 luden sie direkt eine bösartige Version (2.68) der Browser-Erweiterung in den offiziellen Chrome Store hoch. Da das Update mit gültigen Schlüsseln signiert war, wurde es automatisch an ahnungslose Nutzer verteilt. Die Malware war darauf programmiert, die geheimen Seed-Phrasen der digitalen Geldbörsen abzugreifen, sobald ein Nutzer seine Erweiterung entsperrte.

Viele Unternehmen unterschätzen die Gefahr von Supply‑Chain‑Angriffen – automatisierte Malware und gestohlene API‑Schlüssel können innerhalb kürzester Zeit enorme Summen abziehen, wie der Trust Wallet‑Fall eindrücklich zeigt. Das kostenlose E‑Book “Cyber Security Awareness Trends” analysiert aktuelle Angriffsmuster (inkl. Entwickler‑Toolchain), erklärt praxisnahe Schutzmaßnahmen für Deployment‑Pipelines und gibt IT‑Verantwortlichen konkrete Checklisten an die Hand, um Risiken sofort zu reduzieren. Gratis Cyber-Security-Leitfaden herunterladen

So lief der Millionen-Diebstahl ab

Der Schaden war enorm und schnell angerichtet. Die kompromittierte Erweiterung schickte die gestohlenen Daten an einen Server der Angreifer. Laut Analysen der Cybersecurity-Firma Koi durchsuchte der Schadcode systematisch alle konfigurierten Wallets eines Nutzers, nicht nur das aktive. Die Folge: Insgesamt wurden 2.520 Wallet-Adressen geleert, was einem Gesamtschaden von rund 8,5 Millionen Euro entspricht. Die Gelder wurden umgehend auf 17 Wallet-Adressen der Täter konsolidiert.

Betroffen waren vor allem Nutzer, die die Browser-Erweiterung in dem kritischen 48-Stunden-Fenster über die Weihnachtsfeiertage aktiv genutzt hatten. Die mobile App von Trust Wallet blieb von diesem spezifischen Angriff verschont. Doch wie reagiert das Unternehmen auf den massiven Vertrauensverlust?

Rettungsaktion und milliardenschwere Entschädigung

Nach der Entdeckung des Angriffs zog Trust Wallet die infizierte Version umgehend aus dem Verkehr. In dieser Woche wurde eine bereinigte Version (2.71.0) veröffentlicht. Die größte Herausforderung ist nun die Schadensbegrenzung. Das Unternehmen hat eine vollständige Entschädigung aller verifizierten Opfer angekündigt – ein bemerkenswerter und kostspieliger Schritt.

Mit der neuesten Update-Version wurde ein Verifizierungscode eingeführt, der betroffenen Nutzern einen sicheren Nachweis des Eigentums an ihren kompromittierten Adressen ermöglichen soll. Branchenbeobachter sehen in der Entschädigungszusage eine strategische Notwendigkeit, um eine Massenflucht der Kunden zu Hardware-Wallets zu verhindern. Der Prozess wird jedoch komplex, da legitime Opfer von potenziell betrügerischen Forderungen unterschieden werden müssen.

Neue Ära der Cyberkriminalität: Der Entwickler als Ziel

Der “Shai-Hulud”-Angriff markiert eine beunruhigende Wende. Statt gut gesicherte Unternehmensserver direkt anzugreifen, vergiften Kriminelle zunehmend die Quelle der Software-Entwicklung. Sie infizieren Code-Bibliotheken und Entwickler-Tools, auf die Programmierer blind vertrauen. Sicherheitsforscher von ReversingLabs verfolgen die Schadsoftware seit Ende 2025 und beschreiben sie als sich selbst verbreitende Bedrohung.

Der Erfolg bei Trust Wallet zeigt: Die Kompromittierung eines einzelnen Entwickler-Laptops kann genauso lukrativ sein wie der Einbruch in einen Banktresor. Die Automatisierung des Angriffs – vom Stehlen der API-Schlüssel bis zum Veröffentlichen bösartiger Updates – ermöglicht den Tätern ein beängstigendes Tempo. Steht der Fintech- und Kryptobranche damit eine neue Angriffswelle bevor?

Branche unter Schock – was Nutzer jetzt tun sollten

Der Vorfall hat die Krypto-Sicherheitsgemeinschaft aufgeschreckt und führt zu Forderungen nach strengeren DevSecOps-Praktiken. Experten warnen: Die Abhängigkeit von automatisierten Bereitstellungspipelines schafft eine einzige Fehlerquelle, wenn die Berechtigungsschlüssel gestohlen werden.

Für das Jahr 2026 prognostizieren Analysten eine Zunahme ähnlicher Angriffe. Da Börsen und Wallet-Anbieter ihre externen Verteidigungslinien verstärken, verlagern Hacker ihren Fokus auf die weichere Unterseite der Software-Lieferkette. Für Trust-Wallet-Nutzer lautet die dringende Empfehlung: Auf die neueste, verifizierte Version (2.71.0 oder höher) updaten und größere Vermögenswerte in Cold Storage oder Hardware-Wallets auslagern. Der Vorfall ist eine ernüchternde Lektion: Im digitalen Finanzwesen geht Bequemlichkeit oft auf Kosten der Sicherheit.

PS: Sie wollen verhindern, dass ein kompromittierter Entwickler‑Rechner Ihre gesamte Auslieferung infiziert? Der gleiche Gratis‑Guide enthält praktische DevSecOps‑Checklisten, Maßnahmen zur Härtung von Deployment‑Pipelines und Vorlagen für Mitarbeiterschulungen – ideal für CTOs und IT‑Leiter, die schnell wirksame Gegenmaßnahmen brauchen. Jetzt kostenlosen DevSecOps-Check anfordern