Trust Wallet Confirma Exploração na Extensão do Navegador: Mais de $6 Milhões Drenados no Natal

A Trust Wallet reconheceu oficialmente uma vulnerabilidade de segurança na versão 2.68 da sua extensão do navegador Chrome, resultando em retiradas não autorizadas que totalizaram mais de $6 milhão de euros de utilizadores afetados no Dia de Natal.

A empresa destacou que apenas esta versão específica da extensão foi afetada, mantendo o aplicativo móvel e outras versões da extensão seguras.

(Fontes: X)

Detalhes do Incidente e Resposta Imediata

A violação foi inicialmente sinalizada pelo investigador on-chain ZachXBT em 25 de dezembro, que reportou drenagens rápidas de fundos em vários utilizadores do Trust Wallet pouco após uma atualização recente da extensão.

O Trust Wallet confirmou rapidamente o problema nas redes sociais, pedindo aos utilizadores que desativassem imediatamente a versão 2.68 e atualizassem para a versão mais recente (versão 2.69).

A equipa afirmou que uma investigação ativa está em curso, com mais atualizações prometidas à medida que os detalhes forem surgindo. A causa técnica exata ainda não foi divulgada.

A análise de ZachXBT indicou que os atacantes exploraram a vulnerabilidade para obter acesso direto às carteiras, executando transferências não autorizadas. Mais de $4 milhão de fundos roubados foram supostamente transferidos para exchanges centralizadas, potencialmente via empréstimos relâmpago para obscurecer os rastros.

Centenas de utilizadores parecem ter sido afetados, marcando uma das maiores explorações relacionadas com extensões na memória recente.

Orientações para Utilizadores e Recomendações de Segurança

O Trust Wallet emitiu passos claros de segurança:

• Desativar e remover imediatamente a versão 2.68 da extensão do navegador.
• Atualizar para a versão corrigida para uso contínuo.
• Considerar migrar os ativos para o aplicativo móvel, que oferece autenticação biométrica e não foi afetado.
• Monitorizar de perto a atividade da carteira para quaisquer transações suspeitas.

A empresa enfatizou que o aplicativo móvel permanece seguro e recomendou-o como a plataforma preferencial para o futuro.

Contexto Mais Amplo e Precedente Histórico

Este incidente ecoa uma vulnerabilidade anterior do Trust Wallet em novembro de 2022 envolvendo código WebAssembly, que resultou em perdas de aproximadamente $170.000. A empresa reembolsou totalmente os utilizadores afetados na altura.

A violação atual é significativamente maior em escala, levantando questões sobre possíveis compensações. Até 26 de dezembro de 2025, o Trust Wallet não anunciou planos de reembolso, embora a pressão da comunidade esteja a aumentar por clareza.

O evento destaca os riscos contínuos associados às carteiras baseadas em navegador, especialmente vulnerabilidades introduzidas através de atualizações. Também reforça a sofisticação dos atacantes modernos que visam ferramentas de auto-custódia populares.

Implicações para a Indústria

O exploit serve como um lembrete claro da importância de atualizações oportunas, diversificação de ativos entre plataformas e monitorização vigilante de transações.

À medida que as carteiras não custodiais ganham popularidade, incidentes como este provavelmente intensificarão o escrutínio sobre as práticas de segurança do setor—potencialmente acelerando os pedidos por auditorias aprimoradas, protocolos de atualização e educação dos utilizadores.

O Trust Wallet continua a investigar e compromete-se com a transparência à medida que a situação evolui. Os utilizadores são aconselhados a manter-se atentos e a seguir os canais oficiais para as últimas orientações.