Trust Wallet sufre un robo navideño: los hackers aprovechan una vulnerabilidad en la extensión para robar más de 6 millones de dólares

Una actualización aparentemente rutinaria de la extensión de Chrome se convirtió en el punto de partida de un gran robo de activos criptográficos. El 24 de diciembre, Trust Wallet envió una actualización de la extensión a la Chrome Web Store, con número de versión 2.68.

El 25 de diciembre, día de Navidad, los primeros afectados despertaron y descubrieron que sus fondos en la cartera habían sido transferidos sin autorización. El detective de blockchain ZachXBT intervino rápidamente en la investigación y emitió una alerta urgente en el grupo de Telegram.

A medida que avanzaba la investigación, se fue esclareciendo la magnitud del incidente: solo la versión 2.68 de la extensión del navegador fue afectada, las versiones móviles y otras no sufrieron daños.

01 Resumen del incidente: evento de seguridad navideño y reacciones múltiples

El 25 de diciembre de 2025, una Navidad que debería estar llena de alegría se convirtió en una pesadilla para cientos de usuarios de Trust Wallet. El detective en blockchain ZachXBT emitió una alerta señalando que cientos de usuarios de la plataforma Trust Wallet habían sido víctimas de robo de fondos, con pérdidas que ya alcanzan al menos 6 millones de dólares.

Trust Wallet es una cartera de criptomonedas propiedad de Binance, que afirma tener decenas de millones de usuarios. Como una de las carteras no custodiales líderes en la industria, soporta varias cadenas de bloques principales como Ethereum, Binance Smart Chain, entre otras, y está estrechamente integrada con múltiples plataformas DeFi.

Tras el incidente, Trust Wallet publicó un aviso de seguridad confirmando que la versión 2.68 de la extensión del navegador tenía una vulnerabilidad de seguridad, y lanzó urgentemente la versión 2.69 para corregirla.

El fundador de Binance, CZ, también respondió en redes sociales, indicando que el incidente habría causado pérdidas de aproximadamente 7 millones de dólares, y que la plataforma compensaría en su totalidad a los afectados con fondos de su “SAFU” (Fondo de Activos Seguros).

02 Cronología del ataque: un plan navideño cuidadosamente orquestado

La cronología del incidente revela una planificación meticulosa por parte de los atacantes. La noche del 24 de diciembre, víspera de Navidad, Trust Wallet envió una actualización de la extensión a la Chrome Web Store, y la mayoría de los usuarios actualizaron automáticamente o manualmente durante el ambiente festivo.

Solo unas horas después, en la mañana del 25 de diciembre, aproximadamente en la madrugada o primera hora en horario del Este de EE. UU., los primeros afectados comenzaron a notar transferencias anómalas de fondos. ZachXBT, tras recibir múltiples reportes, emitió una alerta pública en Telegram al mediodía local.

La transferencia de fondos duró más de 30 horas, desde los primeros reportes, un período bastante largo. Durante el robo continuo de activos, Trust Wallet seguía publicando contenidos relacionados con felicitaciones navideñas y promociones, lo que generó una fuerte insatisfacción en la comunidad.

Hasta el 26 de diciembre, más de 30 horas después del inicio, un representante de Trust Wallet emitió una advertencia pública sobre la vulnerabilidad de la extensión del navegador. Este manejo generó críticas generalizadas y aumentó la preocupación de los usuarios.

03 Análisis técnico: la vulnerabilidad fatal de la extensión del navegador

Expertos en seguridad señalaron que el ataque pudo haberse llevado a cabo por dos vías: una, mediante la inserción intencionada de código malicioso durante la actualización; otra, por la introducción inadvertida de una vulnerabilidad explotable.

Las extensiones de Chrome con permisos elevados son objetivos ideales para los atacantes. Estas extensiones pueden leer y modificar todo el contenido de las páginas web que el usuario visita, interceptar solicitudes de red, inyectar scripts arbitrarios e incluso acceder al almacenamiento local.

El CISO de SlowFog añadió que este incidente podría haberse originado por un compromiso en el equipo de desarrollo o en el repositorio de código, y que todavía hay usuarios siendo víctimas del robo. Este análisis subraya la amenaza de los ataques a la cadena de suministro: los atacantes no necesitan comprometer directamente la aplicación de la cartera, sino controlar un eslabón upstream en sus dependencias.

Investigaciones de seguridad muestran que las carteras en navegador enfrentan tres riesgos sistémicos principales: el mecanismo de actualización automática que impide a los usuarios revisar los cambios en el código antes de aceptar la nueva versión; el abuso de permisos que puede permitir que extensiones legítimas añadan código malicioso en actualizaciones; y las vulnerabilidades en la cadena de dependencias que pueden afectar a todas las aplicaciones downstream sin que los usuarios lo sepan.

04 Rastreo de flujos de fondos: rutas de lavado de dinero de los hackers

Según datos de PeckShield, en el incidente por vulnerabilidad de Trust Wallet, los hackers ya han robado más de 6 millones de dólares en activos criptográficos de las víctimas. Estos fondos fueron transferidos rápidamente a una serie de wallets controlados por los atacantes.

El rastreo de los flujos revela un proceso sistemático de lavado de dinero:

En detalle, unos 3.3 millones de dólares fueron transferidos a ChangeNOW, unos 340,000 dólares a FixedFloat, y aproximadamente 447,000 dólares a KuCoin. Este patrón de transferencia rápida y dispersa es común en componentes dañados de extensiones o frontends, con el objetivo de dificultar su rastreo.

Analistas en cadena detectaron que un wallet EVM recién creado recibió transacciones que van desde unos pocos ETH hasta 7 ETH, y uno de estos wallets aún mantiene más de 255 ETH, valorados en unos 750,000 dólares.

En la red de Bitcoin, una sola dirección recibió más de 12 BTC en 66 transacciones, valoradas en más de 1 millón de dólares, y otros wallets recibieron en conjunto 1.5 BTC.

05 Impacto en el mercado y rendimiento de tokens

El incidente de Trust Wallet no solo afectó a los usuarios directamente afectados, sino que también impactó en el mercado de criptomonedas en general. Como token nativo del ecosistema de la cartera, el token de Trust Wallet (TWT) podría experimentar presión a la baja en su precio.

El fundador de SlowFog, Yu Jin, señaló además que los atacantes parecen conocer bien el código fuente de Trust Wallet y habrían insertado PostHog JS para recopilar información de los usuarios y sus carteras. Lo preocupante es que la versión corregida de Trust Wallet no eliminó el script de PostHog JS.

Datos históricos muestran que incidentes similares suelen causar caídas del 10% al 20% en el precio del token en 24 horas, con aumento en volumen y ventas por pánico. Este evento también podría motivar a los inversores a migrar hacia activos más seguros, como Bitcoin y Ethereum.

Hasta el 26 de diciembre, datos de la plataforma Gate muestran que el mercado en general mantiene una actitud cautelosa, y la preocupación por la seguridad de las carteras ha aumentado notablemente. Aunque CZ prometió una compensación total, la recuperación de la confianza aún requiere tiempo.

06 Guía para usuarios y recomendaciones de seguridad

Para los usuarios de Trust Wallet potencialmente afectados, se recomienda actuar inmediatamente:

Paso 1: Verificación y aislamiento. Revisar las transacciones de las últimas 48 horas, especialmente transferencias no autorizadas, interacciones con contratos o firmas de autorizaciones. Si se detectan transacciones sospechosas, desactivar inmediatamente la extensión de Chrome de Trust Wallet, y en chrome://extensions, deshabilitar o eliminar la extensión.

Paso 2: Salvamento de activos. Usar Revoke.cash o la función de aprobaciones de tokens en Etherscan para revocar todos los permisos en DeFi. Crear una nueva cartera, usando una nueva frase semilla, y no restaurar desde la antigua. Transferir los fondos restantes a la nueva cartera, asegurándose de usar dispositivos no comprometidos.

Paso 3: Reporte y reclamaciones. ZachXBT recomienda que los afectados contacten a las autoridades y proporcionen registros detallados de las transacciones. Aunque las investigaciones de robos en criptomonedas tienen baja tasa de resolución, mantener registros formales es clave para futuras acciones colectivas o reclamaciones de seguros.

Para quienes aún no están afectados, las medidas preventivas incluyen: Suspender el uso de la extensión de Chrome, usar en su lugar la app móvil o hardware wallet; revisar y revocar permisos innecesarios en DeFi; evitar firmar nuevas transacciones o autorizaciones hasta aclarar la situación; hacer copias de seguridad de la frase semilla y almacenarlas en entornos offline; y considerar mover fondos grandes a hardware wallets.

El soporte oficial de Trust Wallet ya ha detallado en su centro de ayuda el proceso de compensación, y los afectados pueden registrar su reclamación allí. ZachXBT afirmó que, si se confirma que Trust Wallet es responsable, la plataforma podría tener que compensar a los usuarios afectados.

Perspectivas futuras

Con más de 4 millones de dólares en fondos robados ya transferidos a plataformas como ChangeNOW, FixedFloat y KuCoin, las secuelas de este robo navideño siguen resonando en el mundo de las criptomonedas. Datos de PeckShield muestran que aún hay aproximadamente 2.8 millones de dólares en fondos en las wallets de los hackers.

Yu Jin, el experto en seguridad que detectó que la versión corregida aún contenía scripts sospechosos, advirtió en redes sociales sobre la persistente vulnerabilidad. La seguridad en este mundo de activos digitales nunca es un evento puntual, sino una maratón sin fin.

El silencio y las acciones posteriores de Trust Wallet serán un referente para cómo la industria maneja las crisis de seguridad. Para cada poseedor de activos criptográficos, este incidente es una dura y clara advertencia: la verdadera seguridad siempre está en manos propias.