Trust Wallet confirmou que aproximadamente US$ 7 milhões em criptomoedas foram stolen through a compromised browser extension update.
A violação affected apenas a versão 2.68 da extensão do Chrome, que foi released em 24 de dezembro.
Usuários da carteira móvel permaneceram não afetados, segundo a empresa.
Changpeng Zhao, fundador da Binance, que é dona da Trust Wallet, disse que a carteira compensaria todos os usuários afetados.
“Até agora, US$ 7 milhões foram afetados por este hack. A Trust Wallet irá cobrir. Os fundos dos usuários estão SAFU”, escreveu Zhao no X.
O que aconteceu
O investigador de blockchain ZachXBT foi o primeiro a sinalizar o incidente em 25 de dezembro, após receber relatos de saques rápidos de fundos de usuários da Trust Wallet.
As perdas ocorreram em poucas horas após a atualização da extensão, sugerindo um comprometimento da cadeia de suprimentos.
A empresa de segurança SlowMist analisou o código malicioso e descobriu que ele foi injetado diretamente no código-fonte da Trust Wallet, em vez de por meio de uma biblioteca de terceiros comprometida.
O código de backdoor coletava as frases-semente criptografadas dos usuários quando as carteiras eram desbloqueadas e então sent os dados para um domínio controlado pelo atacante, registrado em 8 de dezembro.
A análise da SlowMist indica que os atacantes iniciaram os preparativos pelo menos duas semanas antes de a atualização maliciosa ser implantada.
Os fundos roubados incluíam Bitcoin, Ethereum e ativos em várias redes de blockchain.
Alguns usuários individuais relataram perdas superiores a US$ 300.000 em poucos minutos após o acesso à carteira.
A Trust Wallet imediatamente instou os usuários a desativarem a versão 2.68 e atualizarem para a versão corrigida 2.69 por meio da Chrome Web Store oficial.
Read also: Bitcoin's 2019-Like Setup Points To Extended Macro Headwinds, Says Analyst
Por que isso importa
O incidente destaca vulnerabilidades de segurança persistentes em carteiras de criptomoedas baseadas em navegador, apesar dos esforços da indústria para reforçar as proteções.
Ao contrário de comprometimentos que visam usuários individuais por meio de phishing, esse ataque infiltrou o canal oficial de distribuição da Trust Wallet, afetando usuários que seguiam práticas de segurança adequadas.
Ataques à cadeia de suprimentos que têm como alvo a infraestrutura de criptomoedas aumentaram acentuadamente em 2024.
A empresa de segurança em blockchain Chainalysis reported que o roubo de criptomoedas ultrapassou US$ 3,41 bilhões até o início de dezembro, em comparação com US$ 3,38 bilhões em todo o ano de 2023.
A violação da Trust Wallet representa o segundo grande problema de segurança para a extensão de navegador da carteira.
Em 2023, a equipe de segurança da fabricante de carteiras de hardware Ledger descobriu uma vulnerabilidade crítica na extensão da Trust Wallet para Chrome que reduzia a segurança de 256 bits para apenas 32 bits de entropia.
O diretor de tecnologia da Ledger, Charles Guillemet, disse que a falha de 2023 poderia ter permitido que atacantes esvaziassem carteiras sem qualquer interação do usuário.
Essa vulnerabilidade foi identificada e corrigida antes que ocorresse exploração em larga escala.
O incidente mais recente reforça por que carteiras de hardware, que armazenam chaves privadas offline, continuam sendo a opção mais segura para grandes quantias em criptomoedas.
Extensões de navegador exigem permissões amplas do sistema e dependem da segurança tanto do código da extensão quanto do computador do usuário, criando múltiplos vetores potenciais de ataque.
Read also: SHIB Price Defies 5,000% Long-Biased Liquidation Wave