Trust Wallet es instando usuarios actualizar su extensión Google Chrome a la última versión después de lo que describió como un «incidente de seguridad» que provocó la pérdida de aproximadamente 7 millones de dólares.
El problema, según el servicio de billetera de criptomonedas sin custodia y multicadena, afecta a la versión 2.68. La extensión tiene alrededor de un millón de usuarios, según el listado de Chrome Web Store. Se recomienda a los usuarios que actualicen a versión 2.69 lo antes posible.
«Hemos confirmado que aproximadamente $7 millones se han visto afectados y nos aseguraremos de que todos los usuarios afectados reciban un reembolso», dijo Trust Wallet en una publicación en X. «Apoyar a los usuarios afectados es nuestra principal prioridad y estamos finalizando activamente el proceso para reembolsar a los usuarios afectados».
Trust Wallet también insta a los usuarios a abstenerse de interactuar con mensajes que no provengan de sus canales oficiales. Los usuarios de dispositivos móviles únicamente y todas las demás versiones de extensiones del navegador no se ven afectados.
Según los detalles compartidos por SlowMist, la versión 2.68 introdujo un código malicioso diseñado para recorrer todas las billeteras almacenadas en la extensión y activar una solicitud de frase mnemotécnica para cada billetera.
«El mnemotécnico cifrado se descifra utilizando la contraseña o clave de acceso: contraseña introducida durante el desbloqueo de la billetera», la empresa de seguridad blockchain. dicho. «Una vez descifrada, la frase mnemotécnica se envía al servidor del atacante api.metrics-trustwallet[.]com.»
El dominio «metrics-trustwallet[.]com» se registró el 8 de diciembre de 2025, con la primera solicitud a «api.metrics-trustwallet[.]com» a partir del 21 de diciembre de 2025.
Un análisis más detallado ha revelado que el atacante ha aprovechado una biblioteca de análisis de cadena completa de código abierto llamada posthog-js para recopilar información del usuario de la billetera.
Los activos digitales drenados hasta ahora incluyen alrededor de $3 millones en Bitcoin, $431 en Solana y más de $3 millones en Ethereum. Los fondos robados han sido movido a través intercambios centralizados y puentes entre cadenas para lavado e intercambio. Según una actualización compartida por el investigador de blockchain ZachXBT, el incidente ha reclamado cientos de víctimas.
«Aunque ~2,8 millones de dólares de los fondos robados permanecen en las carteras del hacker (Bitcoin/EVM/Solana), la mayor parte (>4 millones de dólares en criptomonedas) se ha enviado a los CEX. [centralized exchanges]: ~$3,3 millones para ChangeNOW, ~$340.000 para FixedFloat y ~$447.000 para KuCoin», PeckShield dicho.
«Este incidente de puerta trasera se originó a partir de una modificación maliciosa del código fuente dentro del código base de la extensión interna de Trust Wallet (lógica analítica), en lugar de una dependencia inyectada de un tercero comprometido (por ejemplo, un paquete npm malicioso)», dijo SlowMist.
«El atacante manipuló directamente el propio código de la aplicación y luego aprovechó la biblioteca de análisis legítima de PostHog como canal de exfiltración de datos, redirigiendo el tráfico analítico a un servidor controlado por el atacante».
La compañía dijo que existe la posibilidad de que sea obra de un actor estatal, y agregó que los atacantes pueden haber obtenido el control de los dispositivos de desarrollador relacionados con Trust Wallet u obtenido permisos de implementación antes del 8 de diciembre de 2025.
Changpeng Zhao, cofundador del intercambio de cifrado Binance, propietario de la utilidad, insinuó que «muy probablemente» el exploit fue llevado a cabo por una persona con información privilegiada, aunque no se proporcionó más evidencia para respaldar la teoría.
Fuente