Trust Wallet hack: falha na extensão Chrome rouba US$8,5 mi
Trust Wallet hack expôs a extensão para Google Chrome, permitindo que invasores desviassem cerca de US$ 8,5 milhões em criptomoedas de 2.520 carteiras, segundo relatório oficial da empresa.
Como o ataque aconteceu
A ofensiva foi a segunda onda do “Shai-Hulud”, ataque de supply chain (cadeia de suprimentos de software) registrado em novembro de 2025. Ao comprometer segredos do repositório GitHub da Trust Wallet, os criminosos obtiveram a chave da API do Chrome Web Store. Com isso, enviaram diretamente a versão 2.68, contaminada com backdoor, sem o processo interno de revisão.
O domínio malicioso “metrics-trustwallet[.]com” hospedou um código capaz de coletar a seed phrase — sequência de 12 ou 24 palavras que restaura a carteira — cada vez que o usuário desbloqueava a extensão, mesmo usando senha ou biometria. Pesquisadores da Koi Security alertaram que o script varria todas as carteiras configuradas, comprometendo-as integralmente.
Impacto financeiro e resposta da Trust Wallet
Até o momento, o rombo soma US$ 8,5 milhões distribuídos em 17 carteiras controladas pelos invasores. O primeiro saque foi detectado em 25 de dezembro, um dia após a atualização fraudulenta. Usuários foram orientados a atualizar para a versão 2.69 e a transferir fundos para carteiras seguras.
A Trust Wallet abriu um programa de reembolso individual e reforçou monitoramento de lançamentos para evitar novo vazamento de código. A companhia também destacou que o Shai-Hulud 3.0 já circula com obfuscação aprimorada, focado em roubar segredos de desenvolvedores.
Imagem: Internet
Detalhes técnicos adicionais podem ser conferidos no relatório do The Hacker News, referência internacional em cibersegurança.
Quer ficar por dentro de mais alertas de segurança e dicas para proteger seu dinheiro digital? Visite nossa página principal e continue acompanhando nossas análises voltadas ao universo gamer e de tecnologia.
Crédito da imagem: The Hacker News Fonte: The Hacker News
