BlockBeats News, am 26. Dezember gab Trust Wallet, die nicht verwahrende Krypto-Wallet mit der größten Nutzerbasis, offiziell eine Sicherheitswarnung heraus und bestätigte eine Sicherheitslücke in der Browser-Erweiterungsversion 2.68. Der On-Chain-Detektiv ZachXBT enthüllte, dass Hunderte von Trust-Wallet-Nutzern ihre Gelder gestohlen bekommen haben, wobei die Verluste mindestens 6 Millionen US-Dollar betragen. Trust Wallet hat über 200 Millionen Downloads akkumuliert, mit etwa 17 Millionen monatlich aktiven Nutzern und hält etwa 35 % Marktanteil, was diesen Sicherheitsvorfall weitreichend folgenreich macht. Eine Übersicht über die Sicherheitsvorfälle, denen mehrere Mainstream-Browser-Erweiterungen begegnet sind, ist wie folgt:
Im November 2022 wurde auch in der Trust-Wallet-Browser-Erweiterung eine WebAssembly-Sicherheitslücke gefunden, die nur neue Wallet-Adressen betraf, die zwischen dem 14. und 23. November 2022 erstellt wurden. Dies führte zum Diebstahl von etwa 170.000 US-Dollar an Geldern. Trust Wallet identifizierte das Problem über sein Bug-Bounty-Programm, behebt die Sicherheitslücke und entschädigte die betroffenen Nutzer vollständig.
Im Jahr 2022 erlebte MetaMask die „Dämonische“ Sicherheitslücke, die ältere Versionen vor 10.11.3 betraf, bei der private Schlüssel im Browser-Speicher offengelegt werden konnten, aber keine bekannten großflächigen Geldverluste auftraten. Von 2023 bis 2025 operierte die offizielle MetaMask-Wallet-Erweiterung sicher, wurde jedoch häufig von gefälschten Erweiterungen beeinträchtigt. Ein Chainalysis-Bericht deutete auf einen Anstieg von abnormalen Diebstahlvorfällen unter MetaMask-Nutzern im Jahr 2025 hin, hauptsächlich aufgrund von gefälschter Malware und Phishing, und nicht aufgrund der Sicherheit der Erweiterungs-Wallet selbst. MetaMask veröffentlicht monatliche Sicherheitsberichte, aber als beliebte Ethereum-Erweiterungs-Wallet bleibt es ein primäres Ziel für Fälschungen.
Phantom (die Haupt-Solana-Wallet-Erweiterung) war 2022 ebenfalls von der „Dämonischen“ Sicherheitslücke betroffen, aber ebenfalls traten keine bekannten großflächigen Geldverluste auf. Anfang 2025 entstand eine Sicherheitskontroverse rund um die Phantom-Wallet-Erweiterung, bei der ein Nutzer 500.000 US-Dollar verlor, was darauf zurückgeführt wurde, dass Phantom private Schlüssel unverschlüsselt im Speicher gespeichert hatte, was zu einem Hackerangriff führte, und eine Sammelklage wurde im Südbezirk von New York eingereicht. Phantom gab offiziell eine Stellungnahme heraus, die alle Vorwürfe entschieden zurückwies, bezeichnete die Klage als „grundlos“ und betonte, dass Phantom eine nicht verwahrende Wallet ist, wobei die Verantwortung für die Geldsicherheit beim Nutzer liegt.
Im Jahr 2022 erlitt Rabby Wallet (eine DeFi-freundliche Erweiterung) einen Hack, bei dem etwa 200.000 US-Dollar an Krypto-Assets gestohlen wurden, aufgrund einer Rabby-Swap-Sicherheitslücke, die nicht von der Erweiterung selbst, sondern von der eingebauten Swap-Funktion stammte.
Die häufigste Diebstahlsmethode für Browser-Erweiterungs-Wallets ist über gefälschte App-Downloads, mit mehreren solchen Vorfällen, die sich 2025 im Firefox-Store konzentrierten und Mainstream-Krypto-Erweiterungs-Wallets wie MetaMask, Phantom und Trust Wallet betrafen. Im Gegensatz dazu sind direkte offizielle Sicherheitslücken in Erweiterungen relativ selten. Es wird empfohlen, dass Nutzer nur aus dem offiziellen Chrome Web Store herunterladen, um die Geldsicherheit zu gewährleisten.
