Pengguna Trust Wallet menghadapi pelanggaran keamanan serius ketika Ekstensi Browser v2.68 diretas. Antara tanggal 24 dan 26 Desember 2025, versi berbahaya lolos dari pemeriksaan rilis normal, sehingga membahayakan data dompet pengguna. Penyerang menggunakan kunci API Chrome Web Store yang bocor untuk mengunggah ekstensi yang telah dimodifikasi, menguras 2.520 dompet dan mencuri sekitar $8,5 juta dalam bentuk kripto.
Insiden ini menyoroti kerentanan kritis dalam ekosistem ekstensi peramban. Trust Wallet menekankan bahwa pengguna aplikasi seluler dan versi ekstensi lainnya tidak terpengaruh. Namun, siapa pun yang menggunakan v2.68 selama periode yang terdampak menghadapi risiko tinggi. Trust Wallet mendesak pengguna untuk segera memindahkan aset mereka ke dompet yang baru dibuat . Mereka juga memulai proses penggantian dana, memverifikasi kepemilikan dompet sebelum mengembalikan dana.
Pelanggaran ini bermula dari insiden rantai pasokan Sha1-Hulud pada bulan November, yang mengungkap rahasia pengembang di berbagai perusahaan. Penyerang memperoleh akses ke GitHub, termasuk kode ekstensi browser Trust Wallet dan kredensial Chrome Web Store.
Dengan menggunakan akses ini, mereka menyiapkan versi berbahaya, dengan menempatkan kode di domain api.metrics-trustwallet.com. Versi ini secara otomatis lolos peninjauan Chrome Web Store, melewati proses persetujuan internal Trust Wallet.
Pada tanggal 25 Desember, para peneliti white-hat dan penyelidik komunitas menandai aktivitas pengurasan dompet. Trust Wallet dengan cepat mengembalikan versi ke rilis yang terverifikasi bersih (v2.69) dan mengeluarkan instruksi mendesak untuk memperbarui ekstensi tersebut.
Selain itu, tim tersebut memperluas kapasitas dukungan untuk mengelola klaim penggantian biaya, dengan lebih dari 5.000 pengajuan yang dilaporkan. Mereka menekankan bahwa verifikasi yang cermat sangat penting untuk mencegah klaim palsu, mengingat risiko peniruan identitas. Perusahaan berencana untuk mengintegrasikan alat verifikasi layanan pelanggan di versi 2.70 untuk memperkuat verifikasi klaim.