Trust Wallet insta a los usuarios a actualizar su extensión de Google Chrome a la última versión después de un “incidente de seguridad” que resultó en una pérdida de alrededor de $7 millones.
El problema afecta a la versión 2.68, según el servicio de billetera de criptomonedas sin custodia de múltiples cadenas. La extensión tiene alrededor de un millón de usuarios, según su listado en Chrome Web Store. Se recomienda a los usuarios actualizar a la versión 2.69 lo antes posible.
“Hemos confirmado que aproximadamente $7 millones se han visto afectados y nos aseguraremos de que todos los usuarios afectados reciban un reembolso”, dijo Trust Wallet en una publicación en X. “Apoyar a los usuarios afectados es nuestra principal prioridad y estamos completando activamente el proceso para reembolsar a los usuarios afectados”.
Trust Wallet también insta a los usuarios a no interactuar con mensajes que no provengan de sus canales oficiales. Sólo los usuarios de dispositivos móviles y todas las demás versiones de extensiones de navegador no se ven afectados.
Según SlowMist, la versión 2.68 introdujo un código malicioso que recorre todas las billeteras almacenadas en la extensión y activa una solicitud de frase mnemotécnica para cada billetera.
“El mnemotécnico cifrado se descifra utilizando la contraseña o clave de acceso ingresada al desbloquear la billetera”, dijo la compañía de seguridad blockchain. “Después del descifrado, la frase mnemotécnica se envía al servidor del atacante api.metrics-trustwallet(.)com”.
El dominio “metrics-trustwallet(.)com” se registró el 8 de diciembre de 2025, y la primera solicitud a “api.metrics-trustwallet(.)com” comenzó el 21 de diciembre de 2025.
Un análisis más detallado reveló que el atacante aprovechó una biblioteca de análisis de cadena completa de código abierto llamada posthog-js para recopilar información del usuario de la billetera.
Los activos digitales retirados hasta ahora incluyen aproximadamente $3 millones en Bitcoin, $431 en Solana y más de $3 millones en Ethereum. Los fondos robados se transfirieron a través de intercambios centralizados y puentes entre cadenas para su lavado e intercambio. Según una actualización del investigador de blockchain ZachXBT, el incidente se cobró cientos de víctimas.
“Mientras que alrededor de 2,8 millones de dólares de los fondos robados permanecen en las carteras del hacker (Bitcoin/EVM/Solana), la mayoría – más de 4 millones de dólares en criptos – se envió a CEX (intercambios centralizados): alrededor de 3,3 millones de dólares a ChangeNOW, alrededor de 340.000 dólares a FixedFloat y alrededor de 447.000 dólares a KuCoin”, dijo PeckShield.
“Este incidente de puerta trasera surgió de un cambio de código fuente malicioso dentro de la base de código interno de la extensión Trust Wallet (lógica analítica), en lugar de una dependencia comprometida de un tercero inyectada (por ejemplo, un paquete npm malicioso)”, dijo SlowMist.
“El atacante manipuló directamente el código de la aplicación y luego utilizó la biblioteca de análisis legítima de PostHog como canal de exfiltración de datos para redirigir el tráfico de análisis a un servidor controlado por el atacante”.
La compañía dijo que existe la posibilidad de que esto fuera obra de un actor estatal, y agregó que los atacantes pueden haber obtenido el control de los dispositivos de desarrollador relacionados con Trust Wallet o haber recibido aprobaciones de implementación antes del 8 de diciembre de 2025.
Changpeng Zhao, cofundador del intercambio de criptomonedas Binance, propietario de la utilidad, sugirió que “muy probablemente” el exploit fue realizado por una persona con información privilegiada, aunque no se proporcionó más evidencia para respaldar la teoría.
About The Author
