El riesgo detrás del script malicioso: Cómo un código oculto capturó claves privadas en Trust Wallet

¿Qué es un script y por qué la extensión Chrome de Trust Wallet sufrió un ataque mediante código malicioso? La actualización v2.68 lanzada el 24 de diciembre contenía lógica JavaScript sospechosa diseñada para transmitir secretos de billetera hacia servidores externos. Los investigadores identificaron referencias a un archivo denominado “4482.js” dentro del paquete afectado, confirmando que el script operaba de manera ofuscada para evadir detección.

El alcance del incidente: De 6 a 7 millones de dólares en pérdidas confirmadas

Trust Wallet confirmó posteriormente que aproximadamente 7 millones de dólares fueron sustraídos durante el incidente. La compañía reaccionó rápidamente, publicando la versión v2.69 el 25 de diciembre como medida de remediación. Según los informes de víctimas e investigadores, los robos comenzaron a manifestarse horas después del lanzamiento de la v2.68, generando alertas públicas sobre el alcance potencial del compromiso.

La ficha de la extensión en Chrome Web Store indica aproximadamente 1,000,000 de usuarios registrados, lo que establece un techo teórico para la exposición. Sin embargo, la vulnerabilidad práctica dependía de cuántos usuarios ingresaron una frase semilla mientras la versión comprometida estaba activa en sus navegadores.

Quién estuvo en riesgo real: La importancia de la frase semilla

Los investigadores enfatizaron que el mayor riesgo afectó a usuarios que importaron o ingresaron una frase semilla después de instalar la v2.68. Una frase semilla representa la clave maestra capaz de desbloquear todas las direcciones actuales y futuras derivadas de ella, lo que la convierte en el objetivo prioritario de cualquier atacante.

El script malicioso fue diseñado específicamente para capturar este tipo de datos sensibles. Si bien otros componentes de la extensión (versiones móviles y otras distribuciones) no fueron afectados, la versión de navegador Chrome concentró toda la exposición durante el período vulnerable.

Pasos de recuperación: Actualizar no es suficiente si tu semilla fue expuesta

Esta distinción es crítica para los usuarios. Actualizar a la v2.69 elimina la lógica maliciosa del script en adelante, pero no protege automáticamente los activos si la frase semilla ya fue transmitida hacia los atacantes.

Para usuarios que ingresaron una semilla mientras la v2.68 estaba instalada, los pasos estándar incluyen:

• Crear una nueva billetera desde una frase semilla completamente nueva
• Transferir todos los fondos a las nuevas direcciones derivadas
• Revocar las aprobaciones de tokens donde sea posible en la cadena blockchain
• Tratar cualquier dispositivo que gestionó la semilla como potencialmente comprometido hasta su verificación

Estas acciones implican costos operativos significativos, incluyendo tarifas de gas para múltiples transacciones entre cadenas y riesgos asociados con el puente de activos durante el período de migración.

El modelo de confianza de las extensiones: Un punto débil en la seguridad del ecosistema

Las extensiones de navegador ocupan una posición única y vulnerable: pueden acceder a las mismas interfaces que los usuarios utilizan para verificar transacciones. Investigaciones académicas han demostrado que los scripts maliciosos pueden evadir revisiones automatizadas de Chrome Web Store y que la eficacia de los sistemas de detección se degrada con el tiempo a medida que los atacantes evolucionan sus tácticas.

El incidente subraya la necesidad de implementar controles de integridad de compilación más robustos, incluidas builds reproducibles, firmas de clave dividida y opciones de reversión claramente documentadas para situaciones de emergencia.

Escenarios de evolución del incidente: Proyecciones sobre el alcance final

El recuento total de pérdidas sigue siendo variable, sujeto a descubrimientos tardíos de víctimas y reclasificación de direcciones en la cadena. Los investigadores proyectan escenarios para las próximas 2 a 8 semanas:

Las variables clave incluyen si la captura de secretos se limitó únicamente a la entrada de frases semilla durante v2.68, si se identifican rutas adicionales de exposición, y la velocidad con que se eliminan los dominios imitadores que intentan engañar a usuarios ofreciendo soluciones falsas.

Respuesta del mercado y recomendaciones inmediatas

El precio de Trust Wallet Token (TWT) cerró en $0.87, reflejando una caída del 2.24% en las últimas 24 horas, con máximo intradía de $0.90 y mínimo de $0.86. El mercado reaccionó con volatilidad moderada, sin una revaloración unidireccional clara.

Recomendaciones para usuarios:

1. Desactiva inmediatamente la extensión v2.68 si aún está instalada
2. Actualiza a v2.69 desde Chrome Web Store oficial
3. Determina si ingresaste una frase semilla mientras v2.68 estuvo activa—esta es la pregunta crítica
4. Si sí: migra tus fondos a una nueva billetera; si no: la actualización es suficiente
5. Ignora cualquier comunicación que no provenga de canales oficiales de Trust Wallet, ya que los estafadores intentan impersonar al equipo durante la remediación

Trust Wallet ha confirmado su compromiso de reembolsar a todos los usuarios afectados y próximamente compartirá instrucciones detalladas sobre el proceso de recuperación.