Explicación de la vulneración de TrustWallet: Desde la actualización hasta drenajes de billetera por valor de $16M en $TWT, BTC, ETH

Lo que ocurrió exactamente en el incidente de Trust Wallet

Paso 1: Se lanzó una nueva actualización de la extensión del navegador

Se lanzó una nueva actualización para la extensión del navegador Trust Wallet el 24 de diciembre.

• La actualización parecía rutinaria.

• No vino acompañada de advertencias de seguridad importantes.

• Los usuarios la instalaron a través del proceso habitual de actualización.

En ese momento, nada parecía sospechoso.

Paso 2: Se añadió código nuevo a la extensión

Tras la actualización, investigadores que revisaban los archivos de la extensión notaron cambios en un archivo JavaScript conocido como 4482.js.

Observación clave:

• El código nuevo no estaba en versiones anteriores.

• Introducía solicitudes de red vinculadas a acciones del usuario.

Esto importa porque las wallets en el navegador son entornos muy sensibles; cualquier lógica saliente nueva representa un alto riesgo.

Paso 3: El código se disfrazó como “Analíticas”

La lógica añadida parecía ser código de análisis o telemetría.

Específicamente:

• Parecía lógica de seguimiento utilizada por SDKs de análisis comunes.

• No se activaba todo el tiempo.

• Solo se activaba bajo ciertas condiciones.

Este diseño dificultaba su detección durante pruebas casuales.

Paso 4: Condición de activación — Importar una frase semilla

La ingeniería inversa comunitaria sugiere que la lógica se activaba cuando un usuario importaba una frase semilla en la extensión.

Por qué esto es crítico:

• Importar una frase semilla da control total a la wallet.

• Es un momento único y de alto valor.

• Cualquier código malicioso solo necesita actuar una vez.

Los usuarios que solo usaron wallets existentes quizás no activaron esta ruta.

Paso 5: Los datos de la wallet se enviaron externamente

Cuando ocurrió la condición de activación, el código supuestamente envió datos a un endpoint externo:

metrics-trustwallet[.]com

Lo que generó alarmas:

• El dominio parecía muy similar a un subdominio legítimo de Trust Wallet.

• Se registró solo días antes.

• No estaba documentado públicamente.

• Luego se desconectó.

Al menos, esto confirma comunicación saliente inesperada desde la extensión de la wallet.

Paso 6: Los atacantes actuaron de inmediato

Poco después de importar la frase semilla, los usuarios reportaron:

• Wallets vaciadas en minutos.

• Múltiples activos movidos rápidamente.

• No se necesitó más interacción del usuario.

El comportamiento en la cadena mostró:

• Patrones de transacción automatizados.

• Múltiples direcciones de destino.

• Sin un flujo de aprobación de phishing obvio.

Esto sugiere que los atacantes ya tenían suficiente acceso para firmar transacciones.

Paso 7: Los fondos se consolidaron en varias direcciones

Los activos robados fueron redirigidos a través de varias wallets controladas por los atacantes.

Por qué esto importa:

• Sugiere coordinación o scripting.

• Reduce la dependencia de una sola dirección.

• Coincide con comportamientos observados en exploits organizados.

Las estimaciones basadas en las direcciones rastreadas sugieren que se movieron millones de dólares, aunque los totales varían.

Paso 8: El dominio desapareció

Tras aumentar la atención:

• El dominio sospechoso dejó de responder.

• No hubo una explicación pública inmediata.

• Las capturas de pantalla y las evidencias en caché se volvieron cruciales.

Esto es coherente con que los atacantes destruyeran la infraestructura una vez expuestos.

Paso 9: La confirmación oficial llegó más tarde

Trust Wallet confirmó posteriormente:

• Un incidente de seguridad afectó a una versión específica de la extensión del navegador.

• Los usuarios móviles no se vieron afectados.

• Los usuarios deben actualizar o desactivar la extensión.

Sin embargo, no se proporcionó un desglose técnico completo de inmediato para explicar:

• Por qué existía el dominio.

• Si las frases semilla quedaron expuestas.

• Si fue un problema interno, de terceros o externo.

Esta laguna alimentó la especulación continua.

Lo que se confirma

• Una actualización de la extensión del navegador introdujo un comportamiento saliente nuevo.

• Los usuarios perdieron fondos poco después de importar frases semilla.

• El incidente estuvo limitado a una versión específica.

• Trust Wallet reconoció un problema de seguridad.

Lo que se sospecha firmemente

• Un problema en la cadena de suministro o inyección de código malicioso.

• Que las frases semilla o la capacidad de firmar quedaron expuestas.

• Que la lógica de análisis fue mal utilizada o armada.

Lo que aún se desconoce

• Si el código fue intencionadamente malicioso o comprometido en la upstream.

• Cuántos usuarios fueron afectados.

• Si se tomaron otros datos.

• La atribución exacta de los atacantes.

Por qué importa este incidente

Esto no fue un phishing típico.

Resalta:

• El peligro de las extensiones del navegador.

• El riesgo de confiar ciegamente en las actualizaciones.

• Cómo el código de análisis puede ser mal utilizado.

• Por qué manejar frases semilla es el momento más crítico en la seguridad de la wallet.

Incluso una vulnerabilidad de corta duración puede tener consecuencias graves.