Trust Wallet vai cobrir US$ 7 milhões perdidos em hack no dia de Natal, diz CZ

Usuários da Trust Wallet perderam cerca de US$ 7 milhões em um exploit ocorrido no dia de Natal que vinha sendo planejado desde o início de dezembro.

A versão 2.68 da extensão de navegador da Trust Wallet foi comprometida por um incidente de segurança que afetou usuários de desktop, informou a Trust Wallet em uma publicação no X na quinta-feira; a empresa orientou os usuários a atualizarem para a versão 2.89.

Changpeng Zhao, cofundador da Binance — que é dona da carteira de criptomoedas que afirma atender 220 milhões de usuários — disse em uma publicação no X na sexta-feira que os fundos perdidos serão cobertos.

Exploits envolvendo carteiras de criptomoedas têm se tornado uma ameaça crescente para investidores de ativos digitais. Comprometimentos de carteiras pessoais responderam por 37% do valor roubado em 2025, se o hack de US$ 1,4 bilhão da Bybit em fevereiro for excluído, segundo a Chainalysis.

Volume de ataques a criptomoedas ao longo do tempo, proporção de ataques a carteiras pessoais com cenário de ajuste para 2025 para o ataque à Bybit. Fonte: Chainalysis.com

Ainda assim, o exploit de US$ 7 milhões da Trust Wallet empalidece em comparação com alguns dos maiores hacks de carteiras. Em fevereiro de 2024, o cofundador do jogo play-to-earn Axie Infinity, Jeff Zirlin, perdeu US$ 9,7 milhões em Ether (ETH) em um suposto exploit de carteira.

• Número de hacks cripto cai, mas ataques à cadeia de suprimentos remodelam o cenário de ameaças

Observadores da indústria cripto levantam preocupações sobre insider após exploit da Trust Wallet

Os responsáveis pelo ataque à Trust Wallet vinham preparando o exploit desde pelo menos 8 de dezembro, escreveu Yu Xian, cofundador da empresa de segurança em blockchain SlowMist, em uma publicação no X na sexta-feira. Uma tradução automática de sua publicação diz:

“O atacante iniciou os preparativos pelo menos em [8 de dezembro], implantou com sucesso o backdoor em [22 de dezembro], começou a transferir fundos no [dia de Natal] e, assim, foi descoberto.”

O código do backdoor também estava coletando informações pessoais dos usuários, que eram enviadas ao servidor do atacante.

Segundo o investigador onchain ZachXBT, “centenas” de usuários da Trust Wallet foram afetados.

Fonte: Cos

Alguns observadores da indústria apontaram sinais de possível atividade interna no exploit, já que o atacante conseguiu enviar uma nova versão da extensão da Trust Wallet ao site.

“Esse tipo de ‘hack’ não é natural. As chances de insider são altas”, escreveu o consultor intergovernamental de blockchain Anndy Lian em uma publicação no X na sexta-feira.

• CZ propõe correção para address poisoning após investidor perder US$ 50 milhões

Zhao concordou que o exploit foi “muito provavelmente” obra de um insider.

Xian, da SlowMist, também observou que o atacante estava “muito familiarizado com o código-fonte da extensão da Trust Wallet”, o que permitiu implementar o backdoor necessário para coletar informações sensíveis dos usuários.