Überblick über Sicherheitsvorfälle bei Plugin-Wallets: Häufig betroffen von gefälschter Software und Phishing-Angriffen, direkte offizielle Schwachstellen sind selten.

BlockBeats Nachrichten, am 26. Dezember veröffentlichte Trust Wallet heute Morgen eine Sicherheitswarnung und bestätigte, dass die Version 2.68 des Trust Wallet Browser-Plugins eine Sicherheitslücke aufweist. Laut On-Chain-Detektiv ZachXBT wurden bereits Hunderte von Trust Wallet Nutzern bestohlen, wobei der Verlust mindestens 6 Millionen US-Dollar beträgt. Mehrere führende Browser-Plugins waren bereits von ähnlichen Sicherheitsvorfällen betroffen:

Das Trust Wallet Browser-Plugin wurde bereits im November 2022 mit einer WebAssembly-Sicherheitslücke entdeckt, die nur neue Wallet-Adressen betraf, die zwischen dem 14. und 23. November 2022 erstellt wurden. Dies führte zu einem Diebstahl von etwa 170.000 US-Dollar. Trust Wallet entdeckte das Problem durch ein Bug-Bounty-Programm, behob die Schwachstelle und entschädigte alle betroffenen Nutzer vollständig.

MetaMask hatte 2022 eine „Demonic“-Sicherheitslücke, die ältere Versionen vor 10.11.3 betraf, wobei private Schlüssel möglicherweise im Browser-Speicher offengelegt wurden. Es sind jedoch keine groß angelegten finanziellen Verluste bekannt. Von 2023 bis 2025 lief das offizielle MetaMask Wallet-Plugin sicher, war jedoch häufig von gefälschten Erweiterungen betroffen. Ein Chainalysis-Bericht zeigt, dass 2025 die Zahl der ungewöhnlichen Diebstähle bei MetaMask-Nutzern stark anstieg, hauptsächlich verursacht durch gefälschte Malware und Phishing, nicht durch die Sicherheit des Plugins selbst. MetaMask veröffentlicht hierzu monatliche Sicherheitsberichte, bleibt aber als beliebtes Ethereum-Plugin-Wallet das Hauptziel für Fälschungen.

Phantom (das führende Solana-Wallet-Plugin) war ebenfalls 2022 von der „Demonic“-Sicherheitslücke betroffen, jedoch sind auch hier keine groß angelegten finanziellen Verluste bekannt. Anfang 2025 gab es eine Sicherheitskontroverse um das Phantom Wallet-Plugin, bei der ein Nutzer 500.000 US-Dollar verlor. Dies wurde darauf zurückgeführt, dass der private Schlüssel unverschlüsselt im Speicher von Phantom abgelegt wurde, was einen Hackerangriff ermöglichte. In der Folge wurde eine Sammelklage beim Bezirksgericht des südlichen Bezirks von New York eingereicht. Phantom wies alle Vorwürfe entschieden zurück, bezeichnete die Klage als „unbegründet“ und betonte, dass Phantom ein nicht-verwahrendes Wallet ist und die Verantwortung für die Sicherheit der Gelder beim Nutzer liegt.

Rabby Wallet (DeFi-freundliches Plugin) erlitt 2022 durch eine Schwachstelle in Rabby Swap einen Diebstahl von etwa 200.000 US-Dollar an Krypto-Assets. Die Schwachstelle stammte jedoch nicht vom Plugin selbst, sondern von der integrierten Swap-Funktion.

Die häufigste Methode für den Diebstahl von Browser-Plugin-Wallets ist der Download gefälschter Anwendungen. 2025 kam es im Firefox Store zu mehreren solchen Vorfällen, die MetaMask, Phantom, Trust Wallet und andere führende Krypto-Plugin-Wallets betrafen. Im Vergleich dazu sind direkte offizielle Schwachstellen der Plugins seltener. Nutzern wird empfohlen, ausschließlich aus dem offiziellen Chrome Web Store herunterzuladen, um die Sicherheit ihrer Gelder zu gewährleisten.