Trust Wallet confirmó que aproximadamente 7 millones de dólares en criptomonedas fueron stolen through a compromised browser extension update.
La brecha afectó solo a la versión 2.68 de la extensión de Chrome, que fue released el 24 de diciembre.
Según la compañía, los usuarios de la billetera móvil no se vieron afectados.
Changpeng Zhao, fundador de Binance, empresa propietaria de Trust Wallet, dijo que la billetera compensaría a todos los usuarios afectados.
«Hasta ahora, 7 millones de dólares afectados por este hackeo. Trust Wallet se hará cargo. Los fondos de los usuarios están SAFU», escribió Zhao en X.
Qué ocurrió
El investigador de blockchain ZachXBT fue el primero en señalar el incidente el 25 de diciembre tras recibir reportes de retiradas rápidas de fondos de usuarios de Trust Wallet.
Las pérdidas se produjeron en cuestión de horas tras la actualización de la extensión, lo que sugiere un compromiso de la cadena de suministro.
La firma de seguridad SlowMist analizó el código malicioso y descubrió que se inyectó directamente en el código fuente de Trust Wallet, en lugar de hacerlo a través de una biblioteca de terceros comprometida.
El código de puerta trasera recopilaba las frases semilla cifradas de los usuarios cuando las billeteras se desbloqueaban y luego sent los datos a un dominio controlado por atacantes registrado el 8 de diciembre.
El análisis de SlowMist indica que los atacantes comenzaron los preparativos al menos dos semanas antes de que se desplegara la actualización maliciosa.
Los fondos robados incluían Bitcoin, Ethereum y activos en múltiples redes de blockchain.
Algunos usuarios individuales informaron pérdidas superiores a 300.000 dólares en cuestión de minutos tras acceder a la billetera.
Trust Wallet instó de inmediato a los usuarios a desactivar la versión 2.68 y actualizar a la versión corregida 2.69 a través de la Chrome Web Store oficial.
Leer también: Bitcoin's 2019-Like Setup Points To Extended Macro Headwinds, Says Analyst
Por qué es importante
El incidente pone de relieve las persistentes vulnerabilidades de seguridad en las billeteras de criptomonedas basadas en navegador, a pesar de los esfuerzos de la industria por fortalecer las protecciones.
A diferencia de los compromisos que apuntan a usuarios individuales mediante phishing, este ataque se infiltró en el canal de distribución oficial de Trust Wallet, afectando a usuarios que seguían prácticas de seguridad adecuadas.
Los ataques a la cadena de suministro dirigidos a la infraestructura de criptomonedas han aumentado drásticamente en 2024.
La firma de seguridad blockchain Chainalysis reported que el robo de criptomonedas superó los 3.410 millones de dólares a principios de diciembre, frente a los 3.380 millones de todo 2023.
La brecha de Trust Wallet representa el segundo gran problema de seguridad para la extensión de navegador de la billetera.
En 2023, el equipo de seguridad del fabricante de hardware wallets Ledger descubrió una vulnerabilidad crítica en la extensión de Chrome de Trust Wallet que reducía la seguridad de 256 bits a solo 32 bits de entropía.
El director de tecnología de Ledger, Charles Guillemet, dijo que la falla de 2023 podría haber permitido a los atacantes drenar billeteras sin ninguna interacción por parte del usuario.
Esa vulnerabilidad se identificó y solucionó antes de que se produjera una explotación a gran escala.
El último incidente subraya por qué las hardware wallets, que almacenan las claves privadas sin conexión, siguen siendo la opción más segura para grandes tenencias de criptomonedas.
Las extensiones de navegador requieren amplios permisos del sistema y dependen de la seguridad tanto del código de la extensión como del ordenador del usuario, lo que crea múltiples vectores potenciales de ataque.
Leer también: SHIB Price Defies 5,000% Long-Biased Liquidation Wave