No dia 25 de dezembro, vários usuários de criptomoedas relataram retiradas rápidas e não autorizadas da extensão de navegador Trust Wallet, provocando um alerta imediato à comunidade. Relatos iniciais surgiram por meio do investigador on-chain ZachXBT, que sinalizou centenas de endereços comprometidos em cadeias compatíveis com EVM, Bitcoin e Solana dentro de uma janela de duas horas. O súbito aumento nas perdas relatadas — inicialmente estimadas em mais de US$ 6 milhões — acionou avisos urgentes no Telegram e no X, instando todos os usuários a revogar aprovações e sacar fundos.
Pesquisadores da comunidade rapidamente identificaram a versão 2.68 da extensão Trust Wallet para Chrome como um denominador comum. A investigação dos arquivos JavaScript da extensão revelou adições inexplicadas em"4482.js" que estavam ausentes das notas oficiais de lançamento. Segmentos de código suspeitos mascarados como funções de analytics eram, na verdade, capazes de capturar frases-semente, transmiti-las para metrics-trustwallet[.]com e, em seguida, esvaziar carteiras automaticamente ao importar as frases. A carga maliciosa ativava-se apenas para eventos de importação de carteiras, evitando a detecção precoce.
Análise subsequente de rastreamento na cadeia rastreou mais de US$ 6 milhões em ativos roubados encaminhados por meio de mixers de privacidade e serviços de obfuscação, destacando a intenção dos atacantes de lavar os fundos rapidamente. Endereços das vítimas incluíam contas multisig internas, carteiras individuais de alto valor e pequenos varejistas, destacando a vulnerabilidade de carteiras baseadas em navegador a ataques de cadeia de suprimentos. Transações de peeling de grandes mixers como Tornado Cash e Wasabi Wallet também foram observadas, indicando estratégias de lavagem coordenadas.
Após o escrutínio público, a Trust Wallet emitiu um aviso oficial reconhecendo um incidente de segurança que afetou apenas a versão 2.68 da extensão. O aviso recomendou desativar imediatamente a extensão, atualizar para a versão 2.69 na Chrome Web Store oficial e evitar importações de frases-semente em ambientes de navegador. Usuários móveis e não-Chrome foram relatados como não afetados. A Trust Wallet enfatizou que a violação não comprometeu seu aplicativo móvel principal nem contratos inteligentes on-chain.
O incidente reacendeu o debate sobre os riscos de autocustódia e segurança operacional. Especialistas reiteraram que ambientes de gerenciamento de chaves são tão críticos quanto os protocolos criptográficos, e que a integridade da cadeia de suprimentos deve ser assegurada tanto por provedores de carteiras quanto por marketplaces de navegadores. Como precaução imediata, pesquisadores de segurança aconselharam usuários afetados a migrar os ativos restantes para novas carteiras criadas em dispositivos seguros, isolados da rede (air-gapped), revogar todas as aprovações de dApp e monitorar a atividade da rede para interações suspeitas.
Na esteira do ataque, clamores por uma avaliação padronizada de extensões, logs de alterações transparentes e auditorias independentes tornaram-se mais fortes. Empresas de segurança de blockchain e grupos de auditores de código aberto estão colaborando no desenvolvimento de ferramentas para detectar código no lado do cliente anômalo em extensões populares de carteiras. Por ora, o incidente da Trust Wallet permanece como um exemplo gritante de como vulnerabilidades na cadeia de suprimentos podem minar a promessa de controle autossoberano de ativos, instando a comunidade a priorizar a segurança de ponta a ponta no design e distribuição de carteiras.
Comentários (0)