Las brechas de seguridad de las extensiones de los navegadores de Trust Wallet drenan 7 millones de dólares de los usuarios.

Visión general del incidente

El 26 de diciembre de 2025 surgieron informes de retiros masivos no autorizados desde la extensión de Chrome de Trust Wallet, versión 2.68. En pocas horas tras una actualización de rutina, atacantes desplegaron código malicioso dentro de la extensión que capturó silenciosamente las frases de semilla y las llaves privadas. Las víctimas reportaron extracciones repentinas de fondos en múltiples cadenas, con un análisis en cadena preliminar que indica pérdidas de aproximadamente 7 millones de dólares.

Vector de ataque y cronología

• 24 de diciembre de 2025: La versión 2.68 se lanzó en Chrome Web Store.
• 26 de diciembre de 2025, 00:15 UTC: El investigador de blockchain ZachXBT alerta a la comunidad tras observar movimientos rápidos de fondos desde billeteras diversas.
• 26 de diciembre de 2025, 02:00 UTC: PeckShield confirma el desvío de más de 6 millones de dólares, con ~40% de los activos robados blanqueados a través de exchanges centralizados.
• 26 de diciembre de 2025, 04:30 UTC: Trust Wallet emite una advertencia para deshabilitar la versión 2.68 y actualizar a la versión parcheada 2.69.
• 26 de diciembre de 2025, 07:42 UTC: Trust Wallet confirma pérdidas totales de unos 7 millones de dólares y se compromete a compensar a todos los usuarios.

Análisis técnico

Los atacantes incrustaron una puerta trasera de la cadena de suministro al inyectar instrumentación PostHog JS en los scripts centrales de la extensión. Esto permitió la exfiltración en tiempo real de las frases de semilla desencriptadas y material de llaves privadas a un punto final malicioso. El agrupamiento en la cadena revela que los activos robados se dividieron entre Bitcoin, Ethereum, Solana y otros tokens compatibles con EVM, con las ganancias agregadas en un pequeño conjunto de direcciones de retiro antes de su distribución a exchanges para la conversión a fiat.

Mitigación y respuesta

Trust Wallet publicó la versión 2.69, que eliminó el código malicioso y rotó las firmas críticas utilizadas en las actualizaciones de la extensión. Se instó a los usuarios afectados a revocar los permisos de la extensión, transferir los activos restantes a billeteras nuevas y activar la autenticación de dos factores cuando esté disponible. El fundador de Binance, Changpeng Zhao (CZ), garantizó públicamente el reembolso bajo el fondo SAFU. Empresas de seguridad independientes están auditando la base de código y monitoreando vulnerabilidades residuales.

Implicaciones más amplias

Este incidente subraya el mayor riesgo asociado a las extensiones de billetera basadas en navegador. A diferencia de los dispositivos de hardware o de clientes de escritorio completamente autónomos, las extensiones del navegador operan dentro del contexto de seguridad del navegador, aumentando su superficie de ataque. Los expertos recomiendan usar carteras de hardware o soluciones de abstracción de cuentas que impongan retrasos en las transacciones y requieran aprobaciones explícitas del usuario para cambios a nivel de código.

Conclusiones clave

1. El compromiso de la cadena de suministro puede inyectar código malicioso directamente en actualizaciones de software legítimas.
2. Un aviso rápido y el lanzamiento de parches, junto con garantías públicas de compensación, son críticos para el control de daños.
3. Los entornos de extensiones de navegador siguen siendo vulnerables; los usuarios deberían considerar alternativas de hardware o multisig para grandes tenencias.