Trust Wallet ha instat els seus usuaris a actualitzar la seva extensió de Google Chrome a la darrera versió després del que va descriure com un «incident de seguretat» que va provocar pèrdues d’aproximadament 7 milions de dòlars.

El problema, segons el servei de moneder de criptomonedes multicadena i sense custòdia, afecta la versió 2.68. L’extensió té aproximadament un milió d’usuaris, segons la llista de Chrome Web Store. Es recomana que els usuaris s’actualitzin a la versió 2.69 tan aviat com sigui possible.

«Hem confirmat que aproximadament 7 milions de dòlars s’han vist afectats i ens assegurarem que tots els usuaris afectats rebin el reemborsament», va dir Trust Wallet en una publicació a X. «Donar suport als usuaris afectats és la nostra màxima prioritat i estem finalitzant activament el procés per reemborsar els usuaris afectats.»

Trust Wallet també insta els usuaris a abstenir-se d’interactuar amb missatges que no provinguin dels seus canals oficials. Els usuaris només de mòbils i totes les altres versions d’extensions del navegador no es veuen afectats.

Segons els detalls compartits per SlowMist, la versió 2.68 va introduir codi maliciós dissenyat per iterar per totes les carteres emmagatzemades a l’extensió i activar una sol·licitud de frase mnemotècnica per a cada cartera.

«El mnemònic xifrat es desxifra mitjançant la contrasenya o la clau d’accés introduïda durant el desbloqueig del moneder», va dir l’empresa de seguretat de cadena de blocs. «Un cop desxifrada, la frase mnemotècnica s’envia al servidor de l’atacant api.metrics-trustwallet[.]com.»

El domini “metrics-trustwallet[.]com” es va registrar el 8 de desembre de 2025, i la primera sol·licitud a “api.metrics-trustwallet[.]com” va començar el 21 de desembre de 2025.

Una anàlisi més detallada ha revelat que l’atacant ha aprofitat una biblioteca d’anàlisi de cadena completa de codi obert anomenada posthog-js per recopilar informació dels usuaris del moneder.

Els actius digitals drenats fins ara inclouen uns 3 milions de dòlars en Bitcoin, 431 dòlars en Solana i més de 3 milions de dòlars en Ethereum. Els fons robats han estat moguts a través d’intercanviadors centralitzats i ponts entre cadenes per al blanqueig i l’intercanvi. Segons una actualització compartida per l’investigador de cadena de blocs ZachXBT, l’incident ha provocat centenars de víctimes.

«Tot i que aproximadament 2,8 milions de dòlars dels fons robats romanen a les carteres del pirata informàtic (Bitcoin/EVM/Solana), la major part menys de 4 milions de dòlars en criptomonedes– s’ha enviat a CEX [intercanviadors centralitzats]: aproximadament 3,3 milions de dòlars a ChangeNOW,  340.000 dòlars a FixedFloat i 447.000 dòlars a KuCoin», va informar PeckShield.

SlowMist va co,municar que «Aquest incident de porta del darrere es va originar a partir d’una modificació maliciosa del codi font dins de la base de codi de l’extensió interna de Trust Wallet (lògica analítica), en lloc d’una dependència de tercers compromesa injectada (per exemple, un paquet npm maliciós).»

«L’atacant va manipular directament el codi de l’aplicació i després va aprofitar la biblioteca analítica legítima de PostHog com a canal d’exfiltració de dades, i va redirigir el trànsit analític a un servidor controlat per l’atacant.»

L’empresa va comunicar que hi ha la possibilitat que sigui obra d’un actor estatal-nació, i va afegir que els atacants podrien haver obtingut el control dels dispositius de desenvolupador relacionats amb Trust Wallet o haver obtingut permisos de desplegament abans del 8 de desembre de 2025.

Changpeng Zhao, cofundador de la plataforma d’intercanvi de criptomonedes Binance, propietària de la utilitat, va insinuar que l’explotació va ser «molt probablement» duta a terme per una persona privilegiada, tot i que no es van proporcionar més proves que donessin suport a la teoria.

Actualització

Trust Wallet, en una actualització de seguiment, ha instat els usuaris afectats a emplenar un formulari al seu servei d’assistència a «trustwallet-support.freshdesk[.]com» per iniciar el procés de compensació. S’ha demanat a les víctimes que proporcionin la seva adreça de correu electrònic de contacte, el país de residència, l’adreça o adreces de la cartera compromesa, l’adreça a la qual es van drenar els fons i els hashes de les transaccions corresponents.

«Estem veient estafes a través d’anuncis de Telegram, formularis de ‘compensació’ falsos, comptes de suport suplantats i missatges directes», va advertir l’empresa. «Verifiqueu sempre els enllaços, no compartiu mai la vostra frase de recuperació i utilitzeu només els canals oficials de Trust Wallet.»

Eowyn Chen, directora general de Trust Wallet, va dir que s’està duent a terme una investigació sobre l’incident, i es reitera que el problema només afecta els usuaris de la versió 2.68 de l’extensió del navegador Chrome que van iniciar la sessió abans del 26 de desembre de 2025 a les 11:00 UTC.

«L’extensió maliciosa v2.68 no es va publicar a través del nostre procés manual intern», va dir Chen. «Les nostres troballes actuals suggereixen que el més probable és que es va publicar externament a través de la clau API de Chrome Web Store, i va evitar les nostres comprovacions de llançament estàndard.»

«El pirata informàtic va utilitzar una clau API de Chrome Web Store filtrada per enviar la versió 2.68 de l’extensió maliciosa. Aquesta va superar amb èxit la revisió de Chrome Web Store i es va publicar el 24 de desembre de 2025 a les 12:32 UTC.»

Després del descobriment de la bretxa, Chen va dir que l’empresa ha pres la mesura de suspendre el domini maliciós, expirar totes les API de llançament i processar el reemborsament per a les víctimes afectades.

Trust Wallet ha revelat des de llavors que ha identificat 2.596 adreces de moneder que es van veure afectades com a resultat de l’actualització maliciosa de l’extensió.

«D’aquest grup, hem rebut unes 5.000 reclamacions, cosa que indica un nombre significatiu de sol·licituds falses o duplicades que intenten accedir als reemborsaments de les víctimes», va dir Chen, que a més va afegir que «Per això, la verificació precisa de la propietat del moneder és fonamental per garantir que els fons es retornin a les persones adequades.»