Vánoční dárek, o který nikdo nestál
Poskytovatel oblíbené kryptoměnové peněženky Trust Wallet potvrdil vážný bezpečnostní incident. Dotčeni byli uživatelé rozšíření pro prohlížeč Chrome ve verzi 2.68.
Během vánočních svátků roku 2025 se hackerům podařilo ukrást digitální aktiva v celkové hodnotě přibližně 7 milionů dolarů. Útok zasáhl stovky lidí, kteří v kritické době s peněženkou manipulovali.
Mohlo by vás zajímat
Štědrý den plný krádeží: Skrytý skript vysál krypto peněženky uživatelů
Vše začalo 24. prosince 2025 krátce po poledni. Vyšla aktualizace Trust Walletu, jež v sobě ukrývala škodlivý kód. Uživatelé si začali téměř okamžitě stěžovat na to, že se jejich peněženky nevysvětlitelně vyprazdňují.
Celý problém byl v javascriptovém souboru, který automaticky procházel peněženky, spouštěl obnovu tajných mnemotechnických frází a odesílal tato citlivá data na servery útočníků.
Celá operace byla velmi sofistikovaná – útočníci si doménu pro sběr dat registrovali už začátkem prosince a k zamaskování krádeže využili analytickou knihovnu. Z pohledu systému tak vše působilo dojmem běžného přenosu technických dat.
Zdroj: Midjourney (vygenerováno pomocí umělé inteligence)
Kam zmizely ukradené miliony?
Celková bilance útoku je alarmující. Zloději vyprázdnili celkem 2596 peněženek a ukradli zhruba 3 miliony dolarů v Bitcoinu, přes 3 miliony v Ethereu a menší částky v dalších kryptoměnách, jako je například Solana.
Ukradené finance nezůstaly dlouho na místě. Putovaly přes různé směnárny, jako jsou ChangeNOW, FixedFloat nebo KuCoin, a část z nich skončila na platformě Tornado Cash, která slouží k anonymizaci transakcí a praní špinavých peněz.
Mohlo by vás zajímat
Jak se útočníkům podařilo obejít zabezpečení?
Bezpečnostní incident nebyl běžným podvodem na uživatele, ale takzvaným supply-chain útokem. Hackerům se podařilo získat uniklý API klíč k obchodu Chrome Web Store, což jim umožnilo změnit zdrojový kód přímo v analytické části aplikace.
Nešlo tedy o chybu v některé z externích knihoven, ale o přímý zásah do vnitřních procesů. Spekuluje se dokonce o možnosti, že šlo o práci někoho zevnitř společnosti, nebo že útočníci plně ovládli zařízení některého z klíčových vývojářů.
Situaci navíc komplikovala souběžná phishingová kampaň, která se snažila z uživatelů vylákat údaje pod záminkou opravy peněženky.
We’ve identified a security incident affecting Trust Wallet Browser Extension version 2.68 only. Users with Browser Extension 2.68 should disable and upgrade to 2.69.
— Trust Wallet (@TrustWallet) December 25, 2025
Please refer to the official Chrome Webstore link here: https://t.co/V3vMq31TKb
Please note: Mobile-only users…
Reakce Trust Wallet a cesta k odškodnění
Poskytovatel rozšíření Trust Wallet na útok reagoval vydáním opravné verze 2.69 a zablokováním škodlivých domén. Dobrou zprávou pro většinu uživatelů je, že mobilní aplikace, ani verze pro jiné prohlížeče, nebyly tímto incidentem zasaženy.
Trust Wallet nyní slibuje plné odškodnění všem obětem, které prostřednictvím oficiálního formuláře prokážou vlastnictví napadených peněženek. Doposud uživatelé poslali přes 5000 žádostí, mezi nimiž se však objevuje i řada falešných pokusů o podvod.
Společnost proto varuje i před nejrůznějšími skupinami na Telegramu, které se vydávají za podporu a snaží se z lidí vymámit další peníze.
Mohlo by vás zajímat
Jak se v budoucnu podobným situacím vyhnout?
Vánoční útok na krypto peněženku jasně ukazuje, že i u prověřených nástrojů existují rizika, spojená s doplňky v prohlížeči.
Pro maximální bezpečí je nezbytné udržovat software vždy aktuální, nikdy nesdílet seed frázi – sadu slov, sloužících jako hlavní přístupový klíč k peněžence –, s žádnou webovou stránkou ani osobou, a k náhradám škod využívat výhradně oficiální komunikační kanály.
Trust Wallet po tomto incidentu výrazně zpřísnil kontrolní mechanismy pro vydávání nových verzí, aby se podobný scénář již neopakoval.
Zdroj: Bleeping Computer, The Hacker News
7 foto
