Trust Wallet insta a los usuarios a actualizar su extensión de Google Chrome a la última versión tras lo que describió como un "incidente de seguridad" que provocó pérdidas de aproximadamente 7 millones de dólares.
El problema, según informó el servicio de billetera de criptomonedas multicadena sin custodia, afecta a la versión 2.68. La extensión cuenta con aproximadamente un millón de usuarios, según la Chrome Web Store. Se recomienda a los usuarios actualizar a la versión 2.69 lo antes posible.
"Hemos confirmado que aproximadamente 7 millones de dólares se han visto afectados y nos aseguraremos de que todos los usuarios afectados reciban el reembolso", declaró Trust Wallet en una publicación en X. "Apoyar a los usuarios afectados es nuestra principal prioridad y estamos finalizando activamente el proceso de reembolso".
Trust Wallet también insta a los usuarios a abstenerse de interactuar con cualquier mensaje que no provenga de sus canales oficiales. Los usuarios de dispositivos móviles y todas las demás versiones de la extensión del navegador no se ven afectados.
Según los detalles compartidos por SlowMist, la versión 2.68 introdujo un código malicioso diseñado para iterar a través de todos los monederos almacenados en la extensión y activar una solicitud de frase mnemotécnica para cada monedero.
"El mnemónico cifrado se descifra utilizando la contraseña o passkeyPassword ingresada durante el desbloqueo del monedero", explicó la empresa de seguridad blockchain. "Una vez descifrada, la frase mnemotécnica se envía al servidor del atacante api.metrics-trustwallet[.]com".
El dominio "metrics-trustwallet[.]com" se registró el 8 de diciembre de 2025, y la primera solicitud a "api.metrics-trustwallet[.]com" comenzó el 21 de diciembre de 2025.
Análisis posteriores revelaron que el atacante utilizó una biblioteca de análisis de cadena completa de código abierto llamada posthog-js para recopilar información de los usuarios de la billetera.
Los activos digitales robados hasta la fecha incluyen aproximadamente 3 millones de dólares en Bitcoin, 431 dólares en Solana y más de 3 millones de dólares en Ethereum. Los fondos robados se han transferido a través de plataformas de intercambio centralizadas y puentes entre cadenas para su lavado e intercambio. Según una actualización compartida por el investigador de blockchain ZachXBT, el incidente ha causado cientos de víctimas.
Este incidente de puerta trasera se originó por una modificación maliciosa del código fuente dentro del código base de la extensión interna de Trust Wallet (lógica analítica), en lugar de la inyección de una dependencia de terceros comprometida (por ejemplo, un paquete NPM malicioso) —declaró SlowMist—.
El atacante manipuló directamente el código de la aplicación y luego utilizó la biblioteca de análisis legítima PostHog como canal de exfiltración de datos, redirigiendo el tráfico analítico a un servidor controlado por el atacante. La compañía afirmó que existe la posibilidad de que se trate de un agente de un estado-nación, y añadió que los atacantes podrían haber obtenido el control de los dispositivos de los desarrolladores relacionados con Trust Wallet o permisos de implementación antes del 8 de diciembre de 2025.
Changpeng Zhao, cofundador de la plataforma de intercambio de criptomonedas Binance, propietaria de la herramienta, insinuó que la vulnerabilidad fue "muy probablemente" ejecutada por alguien interno, aunque no se aportaron más pruebas que respaldaran esta teoría.
¿Qué sucedió?
Según informa la cuenta CryptoWhale, todo indica que no se trató de un error del usuario ni de permisos mal concedidos, sino de una brecha directa en la cadena de suministro de la extensión de Trust Wallet para Chrome.
El 24/12/2025 Trust Wallet publicó la versión v2.68.0 de su extensión para Chrome. Poco tiempo después, comenzaron a aparecer reportes de usuarios que, tras importar o usar su wallet en esa versión, perdían todos sus fondos, en muchos casos en cuestión de minutos.
Investigadores y analistas on-chain detectaron una carga de JavaScript maliciosa integrada en la extensión. Su función era directa: robar las frases semilla y enviarlas a servidores controlados por el atacante.
Con acceso a la seed, no hacen falta aprobaciones, firmas ni engaños adicionales. El atacante simplemente restaura la wallet en otro entorno y vacía todas las redes asociadas a esa semilla.
Trust Wallet sostiene que el problema afectó únicamente a la extensión v2.68, que las apps móviles no están comprometidas y que los usuarios deben desactivarla y actualizar a la v2.69.
El mayor problema no es el malware, sino el proceso que permitió su publicación. Si una versión maliciosa puede llegar a la Chrome Web Store bajo una marca oficial, el fallo está en el pipeline de lanzamiento: cuenta de desarrollador, sistema de build, CI, firmas, dependencias externas o accesos internos. CZ apunta directamente a la ruta de despliegue como el gran interrogante.
Actualización 31/12: Trust Wallet reveló el martes que la segunda iteración del brote de la cadena de suministro de Shai-Hulud (también conocido como Sha1-Hulud) en noviembre de 2025 probablemente fue responsable del ataque informático a su extensión de Google Chrome, lo que resultó en el robo de aproximadamente 8,5 millones de dólares en activos.
"Nuestros secretos de GitHub para desarrolladores quedaron expuestos en el ataque, lo que permitió al atacante acceder al código fuente de nuestra extensión de navegador y a la clave API de Chrome Web Store (CWS)", declaró la compañía en un análisis posterior publicado el martes.
La revelación de Trust Wallet coincide con la aparición de Shai-Hulud 3.0 con mayor ofuscación y mejoras de confiabilidad, aunque todavía se mantiene enfocado en robar secretos de las máquinas de los desarrolladores.
Fuente: THN
No hay comentarios.:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!