Trust Wallet sofre roubo de Natal: hackers exploram vulnerabilidade na extensão e roubam mais de 6 milhões de dólares

Uma atualização aparentemente rotineira do Chrome Extension tornou-se o ponto de partida para um grande roubo de ativos criptográficos. Em 24 de dezembro, a Trust Wallet enviou uma atualização da extensão para a Chrome Web Store, versão 2.68.

No dia seguinte, 25 de dezembro, no dia de Natal, as primeiras vítimas acordaram e descobriram que os fundos de suas carteiras haviam sido transferidos sem autorização. O detetive de blockchain ZachXBT rapidamente iniciou uma investigação e emitiu um alerta de emergência no grupo do Telegram.

À medida que a investigação avançava, o quadro completo do incidente começou a emergir: afetada apenas a versão 2.68 da extensão do navegador, enquanto as versões móvel e outras não foram impactadas.

01 Visão geral do incidente: evento de segurança de Natal e reações múltiplas

Em 25 de dezembro de 2025, um Natal que deveria ser cheio de alegria tornou-se um pesadelo para centenas de usuários da Trust Wallet. O detetive de blockchain ZachXBT emitiu um alerta, indicando que centenas de usuários da plataforma Trust Wallet tiveram seus fundos roubados, com perdas que já atingiram pelo menos 6 milhões de dólares.

A Trust Wallet é uma carteira de criptomoedas pertencente à Binance, alegando ter dezenas de milhões de usuários. Como uma carteira não custodial líder no setor, ela suporta várias blockchains principais, como Ethereum, Binance Smart Chain, entre outras, e é altamente integrada com diversas plataformas DeFi.

Após o incidente, a Trust Wallet publicou um alerta de segurança confirmando a existência de uma vulnerabilidade na versão 2.68 da extensão do navegador, e lançou urgentemente a versão 2.69 para correção.

CZ, fundador da Binance, também respondeu nas redes sociais, afirmando que o incidente resultou em uma perda total de aproximadamente 7 milhões de dólares, e que a plataforma irá reembolsar integralmente os usuários afetados, com fundos mantidos no “SAFU” (Fundo de Segurança de Ativos).

02 Linha do tempo do ataque: um roubo de Natal cuidadosamente planejado

A linha do tempo do incidente revela um ataque meticulosamente planejado. Na véspera de Natal, 24 de dezembro, a Trust Wallet enviou uma atualização da extensão para a Chrome Web Store, e a maioria dos usuários realizou a atualização automaticamente ou manualmente durante o clima festivo.

Poucas horas depois, na manhã de 25 de dezembro, aproximadamente na madrugada até o início da manhã no horário da costa leste dos EUA, as primeiras vítimas começaram a notar transferências de fundos não autorizadas. ZachXBT, após receber múltiplos relatos, emitiu um alerta público no Telegram ao meio-dia, horário local.

A transferência de fundos durou mais de 30 horas, desde os primeiros relatos, um período bastante longo. Durante o roubo contínuo, a equipe da Trust Wallet ainda publicava mensagens de boas festas e promoções, o que gerou forte insatisfação na comunidade.

Somente em 26 de dezembro, mais de 30 horas após o início do incidente, a equipe da Trust Wallet emitiu um aviso público sobre a vulnerabilidade na extensão do navegador. Essa resposta gerou críticas generalizadas e aumentou as preocupações dos usuários.

03 Análise técnica: a vulnerabilidade fatal da extensão do navegador

Especialistas em segurança apontam que o ataque pode ter ocorrido por duas vias: uma, a inserção intencional de código malicioso durante a atualização; duas, a introdução acidental de uma vulnerabilidade explorável.

A alta permissão das extensões do Chrome as torna alvos ideais para atacantes. Essas extensões podem ler e modificar todo o conteúdo acessado pelo usuário, interceptar requisições de rede, injetar scripts arbitrários e até acessar armazenamento local.

O CISO da SlowFog também destacou que o incidente pode ter sido causado por uma invasão na máquina do desenvolvedor ou no repositório de código, e que alguns usuários continuam sendo roubados. Essa análise reforça a ameaça de ataques na cadeia de suprimentos — os atacantes não precisam invadir diretamente o aplicativo da carteira, apenas controlar um componente upstream.

Pesquisas de segurança indicam que carteiras de navegador apresentam três riscos sistêmicos principais: o mecanismo de atualização automática impede que os usuários revisem as mudanças no código antes de aceitar a nova versão; o uso indevido de permissões pode permitir que extensões legítimas adicionem código malicioso na atualização; vulnerabilidades na cadeia de dependências podem afetar todos os aplicativos downstream, muitas vezes sem o conhecimento do usuário.

04 Rastreamento do fluxo de fundos: caminhos de lavagem dos hackers

De acordo com dados do PeckShield, durante o incidente de exploração da vulnerabilidade da Trust Wallet, os hackers já roubaram mais de 6 milhões de dólares em ativos criptográficos dos vítimas. Esses fundos foram rapidamente transferidos automaticamente para uma série de carteiras controladas pelos atacantes.

O rastreamento do fluxo de fundos revelou um processo sistemático de lavagem de dinheiro:

Mais detalhadamente, cerca de 3,3 milhões de dólares foram transferidos para ChangeNOW, aproximadamente 340 mil dólares para FixedFloat, e cerca de 447 mil dólares para KuCoin. Esse padrão de transferência rápida e dispersa é comum em componentes de extensão ou front-end comprometidos, visando dificultar a rastreabilidade.

Analistas na cadeia de blocos descobriram que um novo endereço EVM recebeu transações variando de alguns centavos de ETH até 7 ETH, sendo que um endereço ainda possui mais de 255 ETH, avaliado em cerca de 75 mil dólares.

Na rede Bitcoin, um único endereço recebeu mais de 12 BTC através de 66 transações, avaliado em mais de 1 milhão de dólares, enquanto outros endereços receberam ao todo 1,5 BTC.

05 Impacto no mercado e desempenho dos tokens

O incidente da Trust Wallet não afetou apenas as vítimas diretas, mas também causou impacto no mercado de criptomoedas como um todo. Como token utilitário nativo do ecossistema da carteira, o token Trust Wallet (TWT) pode sofrer pressão de preço.

A empresa de segurança SlowFog, fundada por Yu Jin, destacou que os atacantes parecem ter conhecimento detalhado do código-fonte da extensão da Trust Wallet, tendo inserido o PostHog JS para coletar diversas informações dos usuários. O mais preocupante é que a versão de correção da Trust Wallet não removeu o script PostHog JS.

Dados históricos mostram que incidentes similares geralmente levam a uma queda de 10% a 20% no preço do token relacionado em 24 horas, com aumento de volume de negociações e vendas por pânico. Este evento também pode impulsionar investidores a migrarem para ativos mais seguros, como Bitcoin e Ethereum.

Até 26 de dezembro, dados da plataforma Gate indicam que o mercado como um todo permanece cauteloso, com aumento na atenção à segurança das carteiras. Apesar da promessa de reembolso total por CZ, a recuperação da confiança ainda levará tempo.

06 Guia de resposta ao usuário e recomendações de segurança

Para usuários da Trust Wallet potencialmente afetados, recomenda-se imediatamente:

Primeiro passo: verificar e isolar. Revisar registros de transações das últimas 48 horas, especialmente transferências não autorizadas de tokens, interações com contratos ou assinaturas de autorização. Se detectar transações suspeitas, desative imediatamente a extensão Chrome da Trust Wallet, acessando chrome://extensions e desativando ou removendo a extensão.

Segundo passo: resgatar ativos. Use Revoke.cash ou a funcionalidade de Aprovações de Token no Etherscan para revogar todas as autorizações DeFi. Crie uma nova carteira, usando uma nova frase-semente, e não restaure a antiga. Transfira os ativos remanescentes para a nova carteira, preferencialmente em dispositivos não monitorados.

Terceiro passo: relatar e buscar reparação. ZachXBT recomenda que as vítimas entrem em contato com as autoridades e forneçam detalhes das transações. Embora a taxa de resolução de casos de roubo de criptomoedas seja baixa, criar registros formais é importante para futuras ações coletivas ou reivindicações de seguro.

Para usuários da Trust Wallet que ainda não foram afetados, as medidas preventivas incluem: pausar o uso da extensão Chrome, usar aplicativos móveis ou hardware wallets; revisar e revogar autorizações desnecessárias de contratos DeFi; evitar assinar novas transações ou autorizações até que a situação seja esclarecida; fazer backups regulares da frase-semente e armazená-los offline; considerar transferir grandes quantidades de ativos para uma carteira de hardware.

A Trust Wallet também publicou em seu centro de suporte um procedimento de compensação, onde vítimas podem registrar pedidos de reembolso. ZachXBT afirmou que, se for confirmado que a responsabilidade pelo incidente recai sobre a Trust Wallet, a plataforma poderá ser obrigada a compensar os usuários afetados.

Perspectivas futuras

Com mais de 4 milhões de dólares de fundos roubados já transferidos para plataformas como ChangeNOW, FixedFloat e KuCoin, as consequências deste roubo de Natal continuam reverberando no mundo das criptomoedas. Dados da PeckShield indicam que ainda há cerca de 2,8 milhões de dólares em fundos retidos na carteira dos hackers.

Yu Jin, o especialista em segurança que descobriu que a versão de correção ainda continha scripts suspeitos, alertou nas redes sociais sobre os riscos contínuos. Segurança, neste mundo de ativos digitais, nunca é um evento pontual — é uma maratona sem fim.

O silêncio e a gestão subsequente da Trust Wallet serão um indicador de como a indústria lidará com crises de segurança. Para cada detentor de ativos criptográficos, este incidente é um lembrete severo e claro — a verdadeira segurança está sempre nas mãos de quem a possui.