Filtración de datos de Trust Wallet Chrome: Cómo un script malicioso atacaba las claves privadas de los usuarios

En diciembre del año pasado, Trust Wallet confirmó un incidente de seguridad relacionado con una extensión infectada del navegador Chrome en la versión 2.68. Un script malicioso integrado en el paquete logró interceptar datos confidenciales de los usuarios, incluyendo frases seed y claves privadas. La compañía lanzó inmediatamente la versión 2.69 el 25 de diciembre, sin embargo, las pérdidas ya habían ocurrido. Según las estimaciones hasta ahora, los usuarios afectados han perdido entre 6 y más de 7 millones de dólares distribuidos en varias blockchains.

Cómo ocurrió el ataque – Código invisible en JavaScript

Los expertos que analizaron el paquete infectado de la versión 2.68 descubrieron una lógica sospechosa en los archivos JavaScript, especialmente en el archivo marcado como “4482.js”. Según los investigadores, este fragmento de código fue diseñado para enviar automáticamente los secretos de la cartera a servidores externos. El script operaba en segundo plano, sin que el usuario lo supiera, y se activaba cuando alguien ingresaba o importaba la frase seed en la extensión.

La extensión de la cartera se encuentra en un punto clave entre las aplicaciones web y los procesos de firma de transacciones. Esto significa que cualquier compromiso en este nivel puede dar acceso a los mismos datos de entrada que utilizan los usuarios para verificar las operaciones. El script malicioso aprovechó precisamente esta vulnerabilidad en la seguridad.

Quién estuvo en riesgo – Alcance estimado de las víctimas

Chrome Web Store indica que la extensión Trust Wallet fue instalada por aproximadamente 1 millón de usuarios. Sin embargo, el alcance real del incidente fue menor: su tamaño depende de cuántas personas realmente instalaron la versión 2.68 y proporcionaron datos confidenciales durante su uso.

El mayor riesgo afectó a quienes:

• Instalaban la versión infectada 2.68
• Escribían o importaban la frase seed en ese período
• Confirmaban transacciones a través de esta extensión

Los usuarios móviles y otras versiones de la extensión no estuvieron afectados, lo que redujo el alcance del riesgo.

Qué hacer ahora – Pasos de protección para cada usuario

No basta con una simple actualización a la versión 2.69. Aunque la nueva versión elimina el código malicioso y previene futuros ataques, no protege automáticamente los activos si la frase seed ya fue revelada.

Para protegerse, realiza los siguientes pasos:

1. Verifica si estás en riesgo:

• ¿Tenías instalada la versión 2.68?
• ¿Escribiste o importaste la frase seed durante su uso?

2. Si la respuesta es “sí”:

• Considera tu frase seed actual como comprometida
• Transfiere todos los fondos a una nueva cartera creada con una nueva frase seed
• Revoca todas las aprobaciones de tokens donde sea posible

3. Actualiza la extensión:

• Desactiva inmediatamente la versión 2.68
• Instala la versión 2.69 desde Chrome Web Store
• Verifica que la aplicación proviene de una fuente oficial

4. Medidas adicionales de precaución:

• Cualquier sistema que haya tenido contacto con la frase seed revelada debe considerarse potencialmente comprometido
• No respondas a mensajes privados de personas que se hagan pasar por el equipo de Trust Wallet
• Evita dominios “fix” que copian la marca – los estafadores distribuyen masivamente sitios falsos de reparación

Mover fondos puede implicar costos operativos, especialmente si mantienes posiciones en varias blockchains. Los costos de gas y el riesgo de puente entre cadenas pueden ser elevados, pero la seguridad debe ser la prioridad.

El mercado reaccionó con cautela – Precio actual de TWT

Trust Wallet Token (TWT) reaccionó relativamente estable ante el incidente. El precio actual ronda los 0,88 USD, con una caída del 2,19% en 24 horas. En el último día, el precio máximo fue de 0,90 USD y el mínimo de 0,86 USD.

El mercado no mostró movimientos bruscos, lo que sugiere que los inversores esperan comunicados adicionales de la compañía sobre la devolución de fondos y los detalles completos del incidente.

Pérdidas estimadas – Escenario para las próximas semanas

La estimación inicial de pérdidas fue de 6–7 millones de dólares. Sin embargo, esta cifra puede cambiar por varias razones:

• Reportes retrasados de las víctimas
• Reclasificación de direcciones on-chain
• Mejor visibilidad de los retiros cross-chain
• Posible descubrimiento de vectores adicionales de ataque

Escenarios pronosticados para las próximas 2–8 semanas:

Qué ocurrió después del incidente – Lecciones para la industria

El incidente reveló debilidades estructurales en el modelo de seguridad de las extensiones de navegador. Investigaciones académicas han demostrado que las extensiones maliciosas o comprometidas pueden evadir los controles automáticos de Chrome Web Store. El fenómeno conocido como “deriva de concepto” indica que las tácticas oscilantes de los atacantes reducen la efectividad de los métodos de defensa estáticos.

La industria ahora exige:

• Compilaciones repetidas del código fuente
• Firmas con claves divididas
• Procedimientos de retirada más claros en caso de correcciones de emergencia
• Mejor transparencia en los informes post-incidente

Trust Wallet anunció que proporcionará instrucciones detalladas para la devolución de fondos a los usuarios afectados. El primer paso debe ser confirmar cuántos usuarios estuvieron en riesgo, qué datos portuarios reveló el script malicioso y cuáles fueron las rutas reales de drenaje de fondos.

Recomendaciones finales

Trust Wallet reafirma firmemente las directrices:

• Desactivar inmediatamente la versión 2.68
• Actualizar a la versión 2.69 desde la Chrome Web Store oficial
• Si ingresaste la frase seed en la versión 2.68, transfiere todos los fondos
• No confíes en mensajes de canales no oficiales

El incidente con el script malicioso es un recordatorio de que ningún sistema, por muy reconocido que sea, es 100% seguro. La educación de los usuarios y la conciencia de los riesgos son hoy la mejor línea de defensa contra estos ataques.