Os usuários da Trust Wallet perderam cerca de US$ 7 milhões em uma exploração ocorrida no dia de Natal que vinha sendo planejada desde o início de dezembro.
A versão 2.68 da extensão do navegador da Trust Wallet foi comprometida por um incidente de segurança que afetou usuários de desktop, informou a Trust Wallet em uma publicação no X na quinta-feira; A empresa orientou os usuários a atualizarem para a versão 2.89.
Changpeng Zhao, cofundador da Binance — que é doador da carteira de criptomoedas que afirma atender 220 milhões de usuários — disse em uma publicação no X na sexta-feira que os fundos perdidos serão cobertos.
Exploits envolvendo carteiras de criptomoedas tornaram-se uma ameaça crescente para investidores de ativos digitais. Comprometimentos de carteiras pessoais responderam por 37% do valor adquirido em 2025, se o hack de US$ 1,4 bilhão da Bybit em fevereiro for excluído, segundo a Chainalysis.
Ainda assim, a exploração de US$ 7 milhões da Trust Wallet empalidece em comparação com alguns dos maiores hacks de carteiras. Em fevereiro de 2024, o cofundador do jogo play-to-earn Axie Infinity, Jeff Zirlin, perdeu US$ 9,7 milhões em Ether (ETH) em um suposto exploit de carteira.
Observadores da indústria criptográfica levantam preocupações sobre insiders após exploração da Trust Wallet
Os responsáveis pelo ataque à Trust Wallet vieram lançando o exploit desde pelo menos 8 de dezembro, escreveu Yu Xian, cofundador da empresa de segurança em blockchain SlowMist, em uma publicação no X na sexta-feira. Uma tradução automática de sua publicação diz:
“A investida iniciou os preparativos pelo menos em (8 de dezembro), implantou com sucesso o backdoor em (22 de dezembro), começou a transferir fundos no (dia de Natal) e, assim, foi descoberta.”
O código do backdoor também estava coletando informações pessoais dos usuários, que foram enviadas ao servidor do atacante.
Segundo o investigador onchain ZachXBT, “centenas” de usuários da Trust Wallet foram afetados.
Alguns observadores da indústria apontaram sinais de possível atividade interna no exploit, já que o atacante conseguiu enviar uma nova versão da extensão da Trust Wallet ao site.
“Esse tipo de ‘hack’ não é natural. As chances de insider são altas”, escreveu a consultora intergovernamental de blockchain Anndy Lian em uma publicação no X na sexta-feira.
Zhao descobriu que o exploit foi “muito provavelmente” obra de um insider.
Xian, da SlowMist, também relatou que o caçador estava “muito familiarizado com o código-fonte da extensão da Trust Wallet”, o que permitiu implementar o backdoor necessário para coletar informações sensíveis dos usuários.
Fontecointelegraph
