Visão geral dos incidentes de segurança da carteira de plugins: frequentemente afetada por softwares falsificados e ataques de phishing, com poucas vulnerabilidades diretas oficiais

12 de dezembro, esta manhã o maior utilizador de carteiras de criptomoedas não custodiais Trust Wallet lançou um alerta de segurança, confirmando que a versão 2.68 do plugin de navegador apresenta uma vulnerabilidade de segurança. O investigador on-chain ZachXBT revelou que centenas de utilizadores do Trust Wallet tiveram fundos roubados, com perdas que já atingiram pelo menos 6 milhões de dólares. O Trust Wallet foi descarregado mais de 200 milhões de vezes, com cerca de 17 milhões de utilizadores ativos mensais, representando aproximadamente 35% do mercado, e este incidente de segurança teve um impacto amplo. A seguir, uma revisão dos incidentes de segurança enfrentados por vários plugins de navegador principais: O plugin do Trust Wallet também foi descoberto em novembro de 2022 com uma vulnerabilidade WebAssembly, afetando apenas endereços de carteiras criados entre 14 e 23 de novembro de 2022. Isso resultou no roubo de cerca de 170 mil dólares, sendo que o Trust Wallet identificou o problema através do programa de recompensas por bugs, corrigiu a vulnerabilidade e compensou integralmente os utilizadores afetados. O MetaMask também enfrentou uma vulnerabilidade chamada «Demonic» em 2022, que afetou versões anteriores à 10.11.3, podendo expor chaves privadas na memória do navegador, embora sem perdas de fundos em grande escala conhecidas. Desde então, entre 2023 e 2025, o plugin oficial do MetaMask operou de forma segura, embora tenha sido frequentemente alvo de extensões falsas. O relatório da Chainalysis mostrou um aumento repentino de casos de roubo de utilizadores do MetaMask em 2025, principalmente devido a malware malicioso e phishing, e não à segurança do próprio plugin. O MetaMask publica relatórios de segurança mensais, mas, como uma carteira popular de Ethereum, continua a ser um alvo principal de imitações. O Phantom (principal plugin de carteira para Solana) também foi afetado pela vulnerabilidade «Demonic» em 2022, sem perdas de fundos em grande escala conhecidas. No início de 2025, surgiu uma controvérsia de segurança envolvendo o plugin Phantom, com um utilizador a perder 500 mil dólares, devido à chave privada armazenada sem encriptação na memória pelo Phantom, levando a um ataque de hackers e a uma ação coletiva no Tribunal do Distrito Sul de Nova York. A declaração oficial do Phantom negou veementemente todas as acusações, afirmando que a ação judicial era «sem fundamento» e destacando que o Phantom é uma carteira não custodial, sendo a responsabilidade pela segurança dos fundos dos utilizadores. A carteira Rabby Wallet (plugin amigável para DeFi) em 2022 sofreu um roubo de cerca de 200 mil dólares em ativos criptográficos devido a uma vulnerabilidade no Rabby Swap, que não veio do próprio plugin, mas da funcionalidade de swap integrada. A forma mais comum de roubo de carteiras de navegador é através do download de aplicações falsas. Em 2025, várias dessas ocorrências ocorreram na loja Firefox, afetando vários plugins principais como MetaMask, Phantom e Trust Wallet. Em contrapartida, as vulnerabilidades diretas nos plugins oficiais são relativamente raras, sendo recomendado aos utilizadores que façam o download apenas na Chrome Web Store oficial para garantir a segurança dos fundos.