Trust Wallet confirma hackeo en la cadena de suministro por una clave API de Chrome filtrada

by Admin |

Visión general

Trust Wallet confirmó que un ataque a la cadena de suministro mediante una actualización comprometida de la extensión de Chrome resultó en pérdidas de aproximadamente 8,5 millones de dólares. Una clave API filtrada de Google Chrome Web Store permitió a los atacantes subir una versión maliciosa de la extensión del navegador Trust Wallet directamente a la Web Store oficial, evitando la revisión de código y controles de seguridad.

Detalles del ataque

  • Período del ataque: 24–26 de diciembre de 2025
  • Versión de la extensión: 2.68
  • Conteo de víctimas: 2.520 direcciones de billetera
  • Método: código malicioso disfrazado de tráfico analítico hacia un dominio falso metrics-trustwallet[.]com

Análisis técnico

Categoría de ataque de la cadena de suministro: compromiso de claves. A diferencia de las explotaciones típicas de contratos inteligentes, este incidente apuntó al mecanismo de distribución. Las credenciales privadas utilizadas para publicar la extensión quedaron expuestas, permitiendo la inyección de código de exfiltración en la canalización de lanzamiento. No se explotó ninguna vulnerabilidad en la cadena; los usuarios finales fueron atacados a través de una infraestructura confiable.

Medidas de respuesta

  • Se revocaron de inmediato las credenciales de API comprometidas.
  • Se restauró a la versión segura de la extensión 2.69.
  • Se implementó una gestión mejorada de llaves de lanzamiento y autenticación multifactor en los sistemas de despliegue.
  • Se ofreció un reembolso a todas las víctimas elegibles, cubriendo la totalidad de las pérdidas.

Implicaciones para la industria

Elementos de infraestructura crítica como las claves de distribución representan un único punto de fallo. Las billeteras basadas en extensiones deberían adoptar una rotación rigurosa de credenciales, monitoreo de cuentas de editores y firma de código fuera de banda para mitigar riesgos similares. Los equipos de seguridad deben considerar vectores de la cadena de suministro con la misma prioridad que las auditorías de contratos inteligentes.

Recomendaciones para los usuarios

Los usuarios que instalaron la versión 2.68 deben suponer que están comprometidos, mover los fondos a nuevas billeteras generadas en un dispositivo seguro y regenerar las frases semilla. La verificación de la versión de la extensión y la actualización a v2.69 o superior es obligatoria. Las reclamaciones de reembolso deben presentarse a través de los canales oficiales de soporte de Trust Wallet.

Comentarios (0)

Conviértase en miembro VIP
✖

Únete a nuestro boletín

Suscríbete para recibir las últimas actualizaciones, consejos gratuitos y ofertas exclusivas.

✖
¡Jason acaba de convertirse en miembro VIP!
Ser miembro

Oferta limitada

¡Aprovecha un descuento del 20% en la suscripción VIP!
00:00:00

Obtener descuento
✖

Obtenga la señal hoy

Una señal actual de BTC/ETH de nuestro canal — gratis.
Comprueba cómo funciona antes de pasar al VIP.

Ir al canal de Telegram Sin spam — solo ideas de trading.