Trust Wallet confirmou que aproximadamente US$ 7 milhões em criptomoedas foram stolen through a compromised browser extension update.
A violação affected apenas a versão 2.68 da extensão do Chrome, que foi released em 24 de dezembro.
Usuários da carteira móvel permaneceram não afetados, de acordo com a empresa.
Changpeng Zhao, fundador da Binance, que é dona da Trust Wallet, disse que a carteira compensaria todos os usuários afetados.
“Até agora, US$ 7 milhões afetados por este hack. A Trust Wallet vai cobrir. Os fundos dos usuários estão SAFU”, escreveu Zhao no X.
O que aconteceu
O investigador de blockchain ZachXBT foi o primeiro a sinalizar o incidente em 25 de dezembro, após receber relatos de drenagem rápida de fundos de usuários da Trust Wallet.
As perdas ocorreram em poucas horas após a atualização da extensão, sugerindo um comprometimento na cadeia de suprimentos.
A empresa de segurança SlowMist analisou o código malicioso e descobriu que ele foi injetado diretamente no código-fonte da Trust Wallet, em vez de por meio de uma biblioteca de terceiros comprometida.
O código de backdoor coletava as frases-semente criptografadas dos usuários quando as carteiras eram desbloqueadas e então sent os dados para um domínio controlado pelo invasor, registrado em 8 de dezembro.
A análise da SlowMist indica que os atacantes começaram os preparativos pelo menos duas semanas antes de a atualização maliciosa ser implantada.
Os fundos roubados incluíam Bitcoin, Ethereum e ativos em várias redes de blockchain.
Alguns usuários individuais relataram perdas superiores a US$ 300.000 em poucos minutos após acessarem a carteira.
A Trust Wallet imediatamente instou os usuários a desativar a versão 2.68 e atualizar para a versão corrigida 2.69 por meio da Chrome Web Store oficial.
Leia também: Bitcoin's 2019-Like Setup Points To Extended Macro Headwinds, Says Analyst
Por que isso importa
O incidente destaca vulnerabilidades de segurança persistentes em carteiras de criptomoedas baseadas em navegador, apesar dos esforços da indústria para reforçar as proteções.
Diferentemente de ataques que visam usuários individuais por meio de phishing, este ataque infiltrou o canal oficial de distribuição da Trust Wallet, afetando usuários que seguiram práticas de segurança adequadas.
Ataques à cadeia de suprimentos que visam a infraestrutura de criptomoedas aumentaram acentuadamente em 2024.
A empresa de segurança em blockchain Chainalysis reported que o roubo de criptomoedas ultrapassou US$ 3,41 bilhões até o início de dezembro, em comparação com US$ 3,38 bilhões em todo o ano de 2023.
A violação da Trust Wallet representa o segundo grande problema de segurança para a extensão de navegador da carteira.
Em 2023, a equipe de segurança da fabricante de carteiras de hardware Ledger descobriu uma vulnerabilidade crítica na extensão da Trust Wallet para Chrome que reduzia a segurança de 256 bits para apenas 32 bits de entropia.
O diretor de tecnologia (CTO) da Ledger, Charles Guillemet, disse que a falha de 2023 poderia ter permitido que invasores esvaziassem carteiras sem qualquer interação do usuário.
Essa vulnerabilidade foi identificada e corrigida antes que ocorresse exploração em larga escala.
O incidente mais recente reforça por que carteiras de hardware, que armazenam chaves privadas offline, continuam sendo a opção mais segura para grandes quantias em criptomoedas.
Extensões de navegador exigem amplas permissões de sistema e dependem da segurança tanto do código da extensão quanto do computador do usuário, criando múltiplos potenciais vetores de ataque.
Leia também: SHIB Price Defies 5,000% Long-Biased Liquidation Wave