Salı günü Trust Wallet, Shai-Hulud (diğer adıyla Sha1-Hulud) tedarik zinciri salgınının Kasım 2025’teki ikinci yinelemesinin, Google Chrome uzantısının hacklenmesinden büyük olasılıkla sorumlu olduğunu ve sonuçta yaklaşık 8,5 milyon dolarlık varlığın çalınmasıyla sonuçlandığını açıkladı.
Şirket, Salı günü yayınlanan bir otopsi raporunda “Geliştirici GitHub sırlarımız, saldırgana tarayıcı uzantısı kaynak kodumuza ve Chrome Web Mağazası (CWS) API anahtarına erişim sağlayan saldırıda açığa çıktı” dedi.
“Saldırgan, sızdırılan anahtar aracılığıyla tam CWS API erişimi elde etti ve yapıların Trust Wallet’ın dahili onay/manuel inceleme gerektiren standart sürüm süreci olmadan doğrudan yüklenmesine olanak sağladı.”
Daha sonra saldırganın “metrics-trustwallet” alan adını kaydettiği söyleniyor[.]com” ve uzantının truva atı haline getirilmiş bir sürümünü, kullanıcıların cüzdan anımsatıcı ifadelerini “api.metrics-trustwallet” alt alanına toplayabilen bir arka kapıya aktardı.[.]com.”
Açıklama, Trust Wallet’ın, 24 Aralık 2025’te bilinmeyen tehdit aktörleri tarafından tarayıcının uzantı pazarına kötü amaçlı bir güncellemenin (sürüm 2.68) gönderilmesinin ardından Chrome uzantısının yaklaşık bir milyon kullanıcısını 2.69 sürümüne güncellemeye çağırmasından birkaç gün sonra geldi.
Güvenlik olayı sonuçta 8,5 milyon dolarlık kripto para varlığının 2.520 cüzdan adresinden saldırgan tarafından kontrol edilen en az 17 cüzdan adresine boşaltılmasına yol açtı. İlk cüzdan boşaltma faaliyeti, kötü amaçlı güncellemeden bir gün sonra kamuoyuna duyuruldu.
Trust Wallet, bundan sonra etkilenen mağdurlar için bir geri ödeme talep süreci başlattı. Şirket, gönderilen taleplere ilişkin incelemelerin devam ettiğini ve duruma göre ele alındığını belirtti. Ayrıca, mağdurlar ile kötü aktörler arasında ayrım yapılması ve dolandırıcılığa karşı daha fazla koruma sağlanması ihtiyacı nedeniyle işlem sürelerinin her vakaya göre değişebileceğini de vurguladı.
Trust Wallet, bu tür ihlallerin tekrar oluşmasını önlemek için sürüm süreçleriyle ilgili ek izleme yetenekleri ve kontrolleri uygulamaya koyduğunu söyledi.
Şirket, “Sha1-Hulud, kripto dahil ancak bunlarla sınırlı olmamak üzere birden fazla sektördeki şirketleri etkileyen, sektör çapında bir yazılım tedarik zinciri saldırısıydı” dedi. “Yaygın olarak kullanılan geliştirici araçları aracılığıyla kötü amaçlı kodların tanıtılması ve dağıtılmasını içeriyordu. Bu, saldırganların doğrudan bireysel kuruluşları hedeflemek yerine güvenilir yazılım bağımlılıkları aracılığıyla erişim elde etmesine olanak tanıdı.”
Trust Wallet’ın açıklaması, Shai-Hulud 3.0’ın ortaya çıkışıyla aynı zamana denk geliyor; bu sürüm, artan gizleme ve güvenilirlik iyileştirmeleriyle birlikte geliştirici makinelerden sırların çalınmasına odaklanmış durumda.
Upwind araştırmacıları Guy Gilad ve Moshe Hassan, “Temel fark, dize gizleme, hata işleme ve Windows uyumluluğunda yatmaktadır; bunların tümü, yeni yararlanma teknikleri sunmaktan ziyade kampanyanın ömrünü artırmayı amaçlamaktadır.” dedi.