Les violacions de les extensions del navegador de Trust Wallet drenen 7 milions de dòlars dels usuaris.

Resum de l'incident

El 26 de desembre de 2025 van aparèixer informes de retirades massives no autoritzades de l'extensió de Chrome de Trust Wallet, versió 2.68. Dins de poques hores d'una actualització de rutina, els atacants van desplegar codi maliciós dins de l'extensió que capturava silenciosament les frases semilla i les claus privades. Les víctimes van informar d'una pèrdua sobtada de fons a diverses cadenes, amb l'anàlisi inicial a la cadena que indicava pèrdues d'al voltant de 7 milions de dòlars.

Vector d'atac i cronologia

• 26 de desembre de 2025: La versió 2.68 es va publicar a Chrome Web Store.
• 26 de desembre de 2025, 00:15 UTC: L'investigador de blockchain ZachXBT alerta la comunitat després d'observar moviments ràpids de fons des de diverses carteres.
• 26 de desembre de 2025, 02:00 UTC: PeckShield confirma el sifonatge de més de 6 milions de dòlars, amb al voltant del 40% dels actius robats blanquejats a través d'intercanvis centralitzats.
• 26 de desembre de 2025, 04:30 UTC: Trust Wallet emet una advertència per desactivar la versió 2.68 i actualitzar a la versió 2.69 reparada.
• 26 de desembre de 2025, 07:42 UTC: Trust Wallet confirma pèrdues totals d'aproximadament 7 milions de dòlars i es compromet a compensar íntegrament els usuaris.

Anàlisi tècnica

Els atacants van inserir una porta posterior de la cadena de subministrament injectant instrumentació PostHog JS als scripts bàsics de l'extensió. Això va permetre l'exfiltració en temps real de les frases semilla desencriptades i del material de clau privada cap a un punt final maliciós. El clustering a la cadena revela que els actius robats es van dividir entre Bitcoin, Ethereum, Solana i altres tokens compatibles amb EVM, amb els fons agregats en un conjunt reduït d'adreces de retirada abans de distribuir-los als intercanvis per a la conversió a moneda fiduciària.

Mitigació i resposta

Trust Wallet va publicar la versió 2.69, que va eliminar el codi maliciós i va renovar les signatures crítiques emprades en les actualitzacions de l'extensió. Els usuaris afectats se'ls va instar a revocar els permisos de l'extensió, a transferir les possessions restants a noves carteres i a activar l'autenticació de dos factors quan estigui disponible. El fundador de Binance, Changpeng Zhao (CZ), va garantir públicament el reemborsament sota el fons SAFU. Empreses de seguretat independents estan auditant la base de codi i vigilant vulnerabilitats residuals.

Implicacions més àmplies

Aquest incident subratlla el risc creixent que envolta les extensions de cartera basades en el navegador. A diferència dels dispositius durs o dels clients d'escriptori completament independents, les extensions de navegador operen dins del context de seguretat del navegador, cosa que augmenta la seva superfície d'atac. Els experts recomanen l'ús de carteres de maquinari o solucions d'abstracció de comptes que imposin retards a les transaccions i exigixin aprovacions explícites de l'usuari per a canvis a nivell de codi.

Conclusions clau

1. La compromís de la cadena de subministrament pot injectar codi maliciós directament en actualitzacions de programari legítimes.
2. L'assessorament ràpid i la implementació de pegats, combinats amb garanties públiques de compensació, són crucials per al control dels danys.
3. Els entorns d'extensions de navegador segueixen sent vulnerables; els usuaris haurien de plantejar-se alternatives de maquinari o de multi-signatura per a grans possessions.