Trust Wallet Confirma la Explotación de la Extensión del Navegador: Más de $6 Millones Robados en Navidad

Trust Wallet ha reconocido oficialmente una vulnerabilidad de seguridad en la versión 2.68 de su extensión para Chrome, que resultó en retiros no autorizados por un total de más de $6 millones de dólares de usuarios afectados en Navidad.

La compañía enfatizó que solo esta versión específica de la extensión fue afectada, mientras que la aplicación móvil y otras versiones de la extensión permanecieron seguras.

(Fuentes: X)

Detalles del Incidente y Respuesta Inmediata

La brecha fue señalada por primera vez por el investigador en cadena ZachXBT el 25 de diciembre, quien reportó drenajes rápidos de fondos en múltiples usuarios de Trust Wallet poco después de una actualización reciente de la extensión.

Trust Wallet confirmó rápidamente el problema en las redes sociales, instando a los usuarios a desactivar inmediatamente la versión 2.68 y actualizar a la última versión (versión 2.69).

El equipo afirmó que se está llevando a cabo una investigación activa, con futuras actualizaciones prometidas a medida que se conozcan más detalles. La causa técnica exacta aún no ha sido divulgada.

El análisis de ZachXBT indicó que los atacantes explotaron la vulnerabilidad para acceder directamente a las billeteras, ejecutando transferencias no autorizadas. Se reporta que más de $4 millones de dólares de los fondos robados fueron transferidos a exchanges centralizados, posiblemente mediante préstamos flash para ocultar las huellas.

Cientos de usuarios parecen haber sido afectados, marcando uno de los mayores exploits relacionados con extensiones en la memoria reciente.

Orientación para Usuarios y Recomendaciones de Seguridad

Trust Wallet emitió pasos claros de seguridad:

• Desactivar y eliminar inmediatamente la versión 2.68 de la extensión del navegador.
• Actualizar a la versión corregida para seguir usándola.
• Considerar migrar los activos a la aplicación móvil, que ofrece autenticación biométrica y no fue afectada.
• Monitorear de cerca la actividad de la billetera para detectar transacciones sospechosas.

La compañía enfatizó que la aplicación móvil sigue siendo segura y la recomienda como la plataforma preferida en adelante.

Contexto Más Amplio y Precedentes Históricos

Este incidente recuerda una vulnerabilidad previa de Trust Wallet en noviembre de 2022 que involucró código WebAssembly, lo que llevó a pérdidas de aproximadamente $170,000. La firma reembolsó completamente a los usuarios afectados en ese momento.

La brecha actual es significativamente mayor en escala, lo que plantea dudas sobre posibles compensaciones. Hasta el 26 de diciembre de 2025, Trust Wallet no ha anunciado planes de reembolso, aunque la presión de la comunidad aumenta para obtener claridad.

El evento destaca los riesgos continuos asociados con las billeteras basadas en navegador, particularmente las vulnerabilidades introducidas mediante actualizaciones. También subraya la sofisticación de los atacantes modernos que apuntan a herramientas de autogestión populares.

Implicaciones para la Industria

El exploit sirve como un recordatorio contundente de la importancia de actualizaciones oportunas, la diversificación de activos en distintas plataformas y la vigilancia constante de las transacciones.

A medida que las billeteras no custodiales ganan popularidad, incidentes como este probablemente intensificarán el escrutinio sobre las prácticas de seguridad en el sector—posiblemente acelerando las llamadas a mejorar las auditorías, los protocolos de actualización y la educación de los usuarios.

Trust Wallet continúa investigando y se ha comprometido a la transparencia a medida que la situación evoluciona. Se aconseja a los usuarios mantenerse alertas y seguir los canales oficiales para las últimas recomendaciones.