O ataque de US$ 7 milhões à extensão da Trust Wallet: tudo o que você precisa saber.

Confiança na carteira confirmado que uma atualização maliciosa de sua extensão oficial para o navegador Chrome levou ao roubo de cerca de US$ 7 milhões em fundos de usuários. A violação afetou apenas uma versão da extensão, a versão 2.68, e envolveu invasores que roubaram frases-semente de carteiras por meio de código malicioso embutido. Segundo relatos, usuários de dispositivos móveis e outras versões do navegador não foram afetados.

O que aconteceu no ataque à extensão Trust Wallet?

O incidente começou em 24 de dezembro de 2025, quando a Trust Wallet lançou a versão 2.68.0 de sua extensão para o Chrome. Inicialmente, os usuários relataram perdas esporádicas. As carteiras eram esvaziadas logo após serem acessadas ou importadas pela extensão. O que pareciam ser casos isolados rapidamente apontou para um problema mais amplo.

No dia de Natal, o investigador on-chain ZachXBT emitido Um alerta público foi emitido enquanto os fundos roubados ainda estavam sendo movimentados na blockchain. Ele vinculou o esvaziamento da carteira diretamente à atualização v2.68. Sua análise ajudou a estabelecer que não se tratava de erro do usuário ou phishing, mas sim de uma extensão de navegador comprometida.

Em 26 de dezembro, a Trust Wallet confirmou a violação de segurança. A empresa afirmou que apenas a versão 2.68 foi afetada e recomendou que os usuários atualizassem imediatamente para a versão 2.69. A extensão para Chrome possui cerca de um milhão de usuários, de acordo com a listagem na Chrome Web Store.

A Trust Wallet confirmou posteriormente que aproximadamente US$ 7 milhões em ativos digitais foram roubados em várias blockchains.

Quais usuários foram afetados?

Apenas os usuários que instalaram ou fizeram login na extensão do Chrome da Trust Wallet versão 2.68 antes das 11h UTC do dia 26 de dezembro estavam em risco.

De acordo com a Trust Wallet e pesquisadores de segurança:

• Os usuários do aplicativo móvel não foram afetados.
• Outras versões de extensões de navegador não foram afetadas.
• As carteiras acessadas através da versão 2.68 podem estar totalmente comprometidas.

Em muitos casos, as carteiras foram esvaziadas poucos minutos após o desbloqueio da extensão ou a importação de uma frase mnemônica. Centenas de carteiras foram afetadas, incluindo endereços de Bitcoin, Ethereum e Solana.

A CEO da Trust Wallet, Eowyn Chen, confirmou que os usuários que fizeram login durante o período afetado devem presumir que suas carteiras foram expostas e gerar novas.

Como funcionava o código malicioso?

De acordo com a empresa de segurança blockchain slowmistO ataque não foi causado por uma biblioteca maliciosa de terceiros. Em vez disso, o atacante modificou diretamente o código da extensão da Trust Wallet. A lógica maliciosa estava incorporada no componente de análise da extensão.

Descubra projetos promissores...

Projetos promissores...

(Propaganda)

O artigo continua...

Eis como funcionou:

• O código percorreu todas as carteiras armazenadas na extensão.
• Isso desencadeou uma solicitação de frase mnemônica para cada carteira.
• Quando os usuários desbloqueavam a carteira, a frase mnemônica criptografada era descriptografada.
• A frase mnemônica descriptografada foi enviada para um servidor controlado pelo atacante.

Os dados foram exfiltrados para api.metrics-trustwallet[.]com. O domínio foi registrado em 8 de dezembro de 2025. As requisições ao servidor começaram em 21 de dezembro, dias antes da publicação da atualização maliciosa.

O atacante usou uma biblioteca legítima de análise de código aberto chamada posthog-js como disfarce. Em vez de enviar os dados para o endpoint de análise correto, o tráfego foi redirecionado para o servidor do atacante.

A SlowMist afirmou que se tratava de uma falha interna no código-fonte, e não de uma dependência corrompida.

Como a extensão comprometida foi publicada?

Uma investigação interna da Trust Wallet revelou uma falha crítica em seu processo de lançamento. De acordo com a CEO Eowyn Chen, uma chave da API da Chrome Web Store vazada foi usada para publicar a versão maliciosa.

A extensão comprometida foi carregada em 24 de dezembro às 12h32 UTC. Isso burlou as verificações internas normais da Trust Wallet.

Isso demonstra que o atacante não explorou os usuários diretamente. Em vez disso, explorou a infraestrutura de distribuição. Ataques à cadeia de suprimentos como esse são mais difíceis de detectar porque o software aparenta ser oficial e confiável.

Quanto foi roubado e para onde foi o dinheiro?

A Trust Wallet e pesquisadores independentes estimam que as perdas totais rondem os 7 milhões de dólares.

A discriminação dos bens roubados conhecidos inclui:

• Cerca de 3 milhões de dólares em Bitcoin
• Mais de US$ 3 milhões em Ethereum
• Quantidades menores em Solana e outros ativos

De acordo com as PeckShield e ZachXBT, os fundos roubados foram rapidamente lavados.

Os principais movimentos incluem:

• Cerca de 3.3 milhões de dólares foram enviados para a ChangeNOW.
• Cerca de US$ 340,000 enviados para a FixedFloat.
• Aproximadamente US$ 447,000 foram enviados para a KuCoin.

Mais de US$ 4 milhões foram movimentados por meio de corretoras centralizadas. Na última atualização, cerca de US$ 2.8 milhões permaneciam em carteiras controladas pelo atacante.

Esse padrão espelha outros casos de comprometimento de carteiras digitais, em que os atacantes usam serviços de troca instantânea e pontes para reduzir a rastreabilidade.

Plano de Resposta e Compensação da Trust Wallet

A Trust Wallet implementou uma correção rápida. A versão 2.69 foi lançada em 25 de dezembro para remover o código malicioso. Os usuários foram aconselhados a desativar imediatamente a versão 2.68.

A empresa também lançou um programa formal de remuneração.

Os usuários afetados podem enviar suas reclamações por meio de um Formulário de suporte oficial no site da Trust WalletO processo requer:

• E-mail
• País de residência
• Endereços de carteira comprometidos
• Atacante recebendo endereços
• Hashes de transação relevantes

A Trust Wallet afirmou que cada solicitação será verificada individualmente.

"Estamos trabalhando ininterruptamente para finalizar os detalhes do processo de indenização e cada caso requer uma verificação cuidadosa para garantir precisão e segurança", disse a empresa.

Changpeng Zhao, cofundador e ex-CEO da Binance, que adquiriu a Trust Wallet em 2018, confirmou que as perdas serão cobertas.

Por que esse ataque cibernético é importante para a segurança da sua carteira?

Este incidente destaca um risco recorrente no mundo das criptomoedas. Mesmo carteiras não custodiadas dependem de canais de distribuição de software. Quando esses canais falham, os usuários podem perder tudo.

O ataque à Trust Wallet segue um padrão mais amplo observado em todo o setor. No início deste ano, a Coinbase anunciou que reembolsaria mais de US$ 400 milhões após uma violação de segurança separada, relacionada ao suborno de funcionários de suporte na Índia.

Métodos de ataque diferentes, mesmo resultado. As suposições de confiança se quebram nas extremidades.

Para os usuários, isso reforça as regras básicas de segurança:

• Considere as extensões de navegador como software de alto risco.
• Atualize imediatamente quando as correções forem lançadas.
• Transfira fundos caso haja risco de comprometimento da carteira.
• Nunca reutilize frases-semente expostas.

Para os provedores de carteiras digitais, a lição é sobre segurança de lançamento. Chaves de API, pipelines de compilação e credenciais de armazenamento são agora alvos principais de ataques.

Conclusão

O ataque de US$ 7 milhões à extensão Trust Wallet foi resultado de uma falha na cadeia de suprimentos, e não de erro do usuário. Um código malicioso incorporado na versão 2.68 da extensão para Chrome coletou frases-semente e esvaziou carteiras em diversas blockchains. 

A rust Wallet respondeu removendo a versão afetada, lançando uma correção e comprometendo-se com o reembolso integral. O incidente ressalta como as extensões de navegador continuam sendo uma superfície de ataque crítica em criptomoedas e por que tanto usuários quanto desenvolvedores devem tratar a segurança de distribuição com a mesma seriedade que o gerenciamento de chaves privadas.

Recursos

1. Trust Wallet no XAnúncio em 26 de dezembro

2. Postagem de Slowmist em XRelatório sobre a exploração da Trust Wallet

3. Postagem de PeckShield em XExploração do problema com a Trust Wallet