Un “incidente de seguridad” en la popular billetera de criptomonedas ha resultado en pérdidas millonarias, obligando a la compañía a emitir parches de emergencia y prometer reembolsos a los usuarios afectados.
La comunidad cripto se enfrenta a una nueva alerta roja. Trust Wallet, una de las billeteras no custodiales más utilizadas del mundo, ha confirmado una brecha de seguridad grave en su extensión para Google Chrome que ha permitido a los atacantes drenar aproximadamente $7 millones de dólares en activos digitales.
La compañía ha instado a todos sus usuarios a actualizar inmediatamente su extensión a la versión 2.69 para cerrar la vulnerabilidad.
Anatomía del Ataque: Código Malicioso Interno
Según el análisis forense realizado, el ataque no fue producto de una vulnerabilidad accidental, sino de una inyección de código malicioso directa en la versión 2.68 de la extensión.
El mecanismo de robo funcionaba de la siguiente manera:
- Activación: El código malicioso estaba diseñado para iterar a través de todas las billeteras almacenadas en la extensión.
- Extracción: Desencadenaba una solicitud de la frase mnemotécnica (las 12 o 24 palabras clave) y la descifraba utilizando la contraseña que el usuario introducía al desbloquear la billetera.
- Exfiltración: Una vez obtenida la frase semilla en texto plano, la enviaba a un servidor controlado por los atacantes (api.metrics-trustwallet[.]com) utilizando una librería legítima de análisis de datos llamada posthog-js para camuflar el tráfico.
¿Un trabajo interno?
Lo más alarmante del incidente es el origen del código. Este incidente de puerta trasera se originó a partir de una modificación de código fuente malicioso dentro de la base de código interna de la extensión Trust Wallet, en lugar de una dependencia de terceros comprometida”.
Esto ha llevado a especulaciones sobre la participación de un infiltrado (“insider threat”). De hecho, Changpeng Zhao (CZ), cofundador de Binance (empresa matriz de Trust Wallet), insinuó que el exploit fue “muy probablemente” ejecutado por un empleado o alguien con acceso directo al entorno de desarrollo, aunque no presentó pruebas concluyentes.
Impacto Financiero y Respuesta
Hasta el momento, se han robado activos por valor de:
- $3 millones en Bitcoin.
- $3 millones en Ethereum.
- $431,000 en Solana.
Los fondos robados están siendo lavados rápidamente a través de intercambios centralizados (CEX) como ChangeNOW, FixedFloat y KuCoin.
Trust Wallet ha declarado que “garantizará que todos los usuarios afectados sean reembolsados” y que apoyar a las víctimas es su “máxima prioridad”.
Recomendaciones
- Verificar Versión: Asegúrate de que tu extensión de Chrome esté actualizada a la versión 2.69 o superior.
- Usuarios Móviles: La aplicación móvil no se ha visto afectada, según la compañía.
- Precaución: Si utilizaste la versión 2.68, considera tu frase semilla comprometida. Se recomienda crear una billetera nueva y transferir los fondos restantes de inmediato.
