Trust Wallet inicia o processo de compensação, assumindo a perda total de 7 milhões de dólares dos usuários.

Trust Wallet ativou o processo de compensação para vítimas do incidente de segurança na versão 2.68 da extensão para Chrome. Este ataque hacker resultou na perda de centenas de carteiras, totalizando aproximadamente 7 milhões de dólares em ativos digitais. CZ, fundador da Binance, confirmou que a empresa assumirá todas as perdas de usuários afetados, e as vítimas podem enviar pedidos de reclamação através do portal oficial.

Vazamento da Chave API do Trust Wallet Provoca Ataque na Cadeia de Suprimentos

Eowyn Chen, CEO do Trust Wallet, revelou na investigação posterior a técnica central do ataque. Os hackers obtiveram a chave API do Trust Wallet na loja de aplicações Chrome, um certificado que originalmente era usado apenas pela equipe interna para publicar atualizações. Os atacantes usaram essa “chave mestra” para, às 12:32 UTC de 24 de dezembro, contornar o processo padrão de publicação interna do Trust Wallet e enviar uma versão adulterada 2.68 na Chrome Web Store.

Este método de ataque é conhecido na área de segurança como “ataque na cadeia de suprimentos”, onde o invasor não ataca diretamente o usuário, mas infiltra-se no canal de distribuição do software, disfarçando código malicioso como uma atualização oficial para todos os usuários. Como a atualização vem da loja oficial e a assinatura é válida, usuários e navegadores não conseguem detectar a malícia. O Trust Wallet possui cerca de um milhão de usuários de extensões Chrome, tornando o impacto potencial deste ataque bastante amplo.

A empresa de segurança blockchain SlowMist, em análise técnica, apontou que o código malicioso utilizou uma biblioteca de análise de código aberto modificada. O código cuidadosamente elaborado captura silenciosamente a frase-semente da carteira ao login na extensão e a envia para um servidor controlado pelos hackers. A frase-semente é a credencial de maior privilégio para controlar uma carteira de criptomoedas; se vazada, o atacante pode assumir controle total de todos os ativos da vítima. Chen afirmou que usuários que acessaram a extensão antes das 11h da manhã de 26 de dezembro (UTC) podem já ter sido afetados.

Após receber o alerta de ZachXBT, investigador na blockchain, no Telegram, no dia de Natal, o Trust Wallet ativou imediatamente um procedimento de emergência. A equipe lançou a versão 2.69 em 25 de dezembro para corrigir a vulnerabilidade e removeu a versão maliciosa da loja Chrome. No entanto, usuários que fizeram login durante o período de publicação da versão maliciosa podem ter tido suas frases-semente expostas, e mesmo atualizações posteriores não podem recuperar os danos já causados.

Rastreamento dos 7 Milhões de Dólares Roubados

A empresa de segurança blockchain PeckShield rastreou na blockchain o fluxo dos fundos roubados. Aproximadamente 7 milhões de dólares em ativos digitais foram desviados em várias redes, incluindo Bitcoin, Ethereum e Solana. Os atacantes adotaram uma estratégia de liquidação rápida, transferindo mais de 4 milhões de dólares através de exchanges centralizadas como ChangeNOW, FixedFloat e KuCoin. Até quinta-feira, cerca de 2,8 milhões de dólares permaneciam nas carteiras dos hackers.

Este padrão de fluxo de fundos demonstra que os atacantes possuem habilidades profissionais de lavagem de dinheiro. ChangeNOW e FixedFloat são exchanges instantâneas sem necessidade de KYC, frequentemente usadas para confundir a origem dos fundos. Transferir parte do dinheiro para grandes exchanges como KuCoin pode ser uma tentativa de dispersar ou converter em dinheiro. Embora o rastreamento na blockchain seja transparente, uma vez que os fundos entram em exchanges centralizadas ou mixers, a recuperação se torna muito mais difícil.

Vale notar que o ataque ocorreu na véspera do Natal, uma estratégia típica de hackers. Durante feriados, as equipes de segurança das empresas têm menos pessoal, o que reduz a velocidade de resposta, dando aos atacantes mais tempo para transferir ativos. O Trust Wallet lançou uma versão de correção em cerca de 24 horas, mas os hackers já tiveram tempo suficiente para realizar a primeira fase de transferência de fundos.

Atualmente, apenas a extensão Chrome do Trust Wallet foi afetada; usuários de aplicativos móveis (iOS e Android) e de outros navegadores (como Firefox, Edge) não foram impactados. Isso ocorre porque diferentes plataformas usam canais de publicação e chaves API independentes, e os hackers conseguiram apenas o controle de publicação na loja Chrome.

Processo de Reembolso Oficial e Aviso de Fraudes

O Trust Wallet disponibilizou no site oficial um formulário de solicitação de reembolso oficial. Usuários afetados devem fornecer as seguintes informações para completar a reclamação:

Informações Necessárias para Reclamação

· Dados básicos de identificação: endereço de email e país/região de residência, para verificação de identidade e contato posterior

· Comprovante da carteira afetada: endereço da carteira roubada e endereço de recebimento dos hackers, devendo ser fornecido no formato completo de endereço na blockchain

· Prova de transação: hash da transação relacionada, como evidência na cadeia de que o roubo ocorreu

A equipe do Trust Wallet afirmou: «Estamos trabalhando dia e noite para definir os detalhes do processo de reembolso, cada caso precisa ser cuidadosamente verificado para garantir precisão e segurança.» Este mecanismo de revisão visa evitar reivindicações falsas, mas também significa que o pagamento pode levar algum tempo. CZ, fundador da Binance, declarou claramente no X: «Trust Wallet assumirá todas as perdas», reforçando que os fundos dos usuários estão «seguro e protegido». A Binance adquiriu o Trust Wallet em 2018, e esta promessa demonstra o compromisso da empresa-mãe em manter a reputação da marca.

O Trust Wallet alerta especialmente os usuários para fraudes de reembolso falsas e golpes de identidade após o incidente. Hackers e fraudadores costumam explorar eventos de segurança para causar danos secundários, criando formulários falsos para roubar mais informações pessoais ou frases-semente. Os usuários devem apenas enviar suas solicitações de reembolso pelo site oficial do Trust Wallet ou canais oficiais verificados, evitando clicar em links desconhecidos ou compartilhar frases-semente com qualquer pessoa.

Este incidente evidencia o risco sistêmico na cadeia de publicação centralizada. Mesmo carteiras descentralizadas dependem de plataformas centralizadas como Google e Apple para atualizações de software. Uma má gestão das chaves API pode expor toda a base de usuários ao risco. O Trust Wallet precisa revisar seus mecanismos de armazenamento de chaves, adotando medidas de segurança mais avançadas, como módulos de segurança de hardware (HSM) ou autenticação multiassinatura. Para os usuários, recomenda-se fazer backups regulares das frases-semente, usar hardware wallet para grandes ativos e acompanhar anúncios oficiais de segurança para reduzir riscos semelhantes.