Trust Wallets confirmam ataques à cadeias de suprimentos de US$8,5 milhões por meio de chaves de API do Chrome vazadas.

by Admin |

Visão geral

A Trust Wallet confirmou que um ataque de cadeia de suprimentos por meio de uma atualização comprometida da extensão Chrome resultou em perdas de aproximadamente US$ 8,5 milhões. Uma chave de API vazada da Google Chrome Web Store permitiu que atacantes enviassem uma versão maliciosa da extensão do navegador Trust Wallet diretamente para a Web Store oficial, contornando a revisão de código e verificações de segurança.

Detalhes do ataque

  • Período do ataque: 24 a 26 de dezembro de 2025
  • Versão da extensão: 2.68
  • Número de vítimas: 2.520 endereços de carteira
  • Método: código malicioso disfarçado de tráfego analítico para um domínio falso metrics-trustwallet[.]com

Análise Técnica

Categoria de ataque da cadeia de suprimentos: comprometimento de credenciais. Ao contrário de explorações típicas de contratos inteligentes, este incidente teve como alvo o mecanismo de distribuição. Credenciais privadas usadas para publicar a extensão foram expostas, permitindo a injeção de código de exfiltração no pipeline de publicação. Nenhuma vulnerabilidade on-chain foi explorada; usuários finais foram visados por meio de infraestrutura confiável.

Medidas de resposta

  • Credenciais de API comprometidas foram revogadas imediatamente.
  • Revertido para a versão segura da extensão 2.69.
  • Implementado gerenciamento aprimorado de chaves de liberação e autenticação multifator nos sistemas de implantação.
  • Foi oferecido reembolso a todas as vítimas elegíveis, cobrindo as perdas na totalidade.

Implicações para a indústria

Elementos de infraestrutura crítica, como chaves de distribuição, representam um único ponto de falha. Carteiras baseadas em extensões devem adotar rotação rígida de credenciais, monitoramento de contas de publicadores e assinatura de código fora de banda para mitigar riscos semelhantes. Equipes de segurança devem considerar vetores da cadeia de suprimentos com a mesma prioridade de auditorias de contratos inteligentes.

Recomendações aos usuários

Usuários que instalaram a versão 2.68 devem presumir comprometimento, mover os fundos para novas carteiras criadas em um dispositivo seguro e regenerar as frases-semente. Verificação da versão da extensão e atualização para v2.69 ou superior são obrigatórias. Solicitações de reembolso devem ser enviadas por meio dos canais oficiais de suporte da Trust Wallet.

Comentários (0)

Torne-se um membro VIP

Junte-se à nossa newsletter

Inscreva-se para receber as últimas atualizações, dicas gratuitas e ofertas exclusivas!

Jason acaba de se tornar um membro VIP!
Tornar-se um participante

Oferta limitada

Aproveite o desconto de 20% na assinatura VIP!
00:00:00

Obter desconto

Receba o sinal hoje

Um sinal atual de BTC/ETH do nosso canal — grátis.
Confira como funciona antes de passar para o VIP.

Ir para o canal do Telegram Sem spam — apenas ideias de trading.