Problema de segurança grave na extensão do navegador Trust Wallet causa prejuízo de 6 milhões de dólares

Foi descoberta uma vulnerabilidade grave na extensão do navegador Trust Wallet, levando vários utilizadores a perderem ativos digitais de forma inesperada. O montante das perdas ultrapassa os 6 milhões de dólares, e a empresa iniciou imediatamente uma resposta de emergência.

Evolução desde a deteção do problema até à resposta

Investigadores on-chain, como ZachXBT, apontaram anomalias no Telegram, o que levou a que o problema de segurança fosse reconhecido publicamente. Segundo o seu aviso, vários utilizadores do Trust Wallet estavam a experienciar uma rápida saída de fundos. Após essa denúncia, uma investigação revelou que uma vulnerabilidade existia numa versão específica da extensão Chrome.

A equipa de investigação do Trust Wallet confirmou que a versão 2.68 da extensão era a origem do problema. Por outro lado, utilizadores de aplicações móveis e de outras versões permanecem em estado seguro.

Escala das perdas e modus operandi do ataque

De acordo com uma investigação detalhada de ZachXBT, os atacantes terão roubado mais de 6 milhões de dólares em ativos. Centenas de utilizadores foram afetados. Os hackers aproveitaram uma técnica de flash loan para transferir os fundos roubados, tendo posteriormente enviado mais de 4 milhões de dólares para exchanges centralizadas.

Esta vulnerabilidade permitiu aos atacantes aceder diretamente aos ativos dos utilizadores, levando a uma saída ilícita de fundos. A extensão do navegador foi a área mais vulnerável.

Medidas que os utilizadores devem tomar imediatamente

O Trust Wallet anunciou orientações de segurança para evitar a ampliação dos danos.

Primeiro, os utilizadores devem atualizar imediatamente a extensão para a versão 2.69, que inclui os patches de segurança mais recentes.

Em seguida, recomenda-se transferir os ativos digitais para a aplicação móvel, que dispõe de autenticação biométrica e oferece um ambiente de maior segurança do que a extensão do navegador.

Além disso, é importante verificar regularmente o histórico de transações da carteira. Detectar atividades suspeitas precocemente pode ajudar a limitar as perdas.

Perspetivas de reembolso e precedentes anteriores

Um ponto importante é que, em novembro de 2022, o Trust Wallet também sofreu uma violação de segurança. Na altura, uma vulnerabilidade no WebAssembly resultou numa perda de cerca de 170 mil dólares, tendo a empresa compensado todos os utilizadores afetados.

No entanto, o impacto atual é muito maior, e, até dezembro de 2025, ainda não foi anunciado um plano oficial de reembolso. Os afetados aguardam uma comunicação clara por parte da empresa. Dada a dimensão das perdas, a decisão de reembolsar pode levar algum tempo.

Mensagem de alerta para toda a indústria

Este incidente reforça a importância de atualizações de segurança oportunas. Além disso, evidencia que as técnicas de ataque estão a tornar-se cada vez mais sofisticadas.

Os utilizadores devem praticar atualizações regulares de software, diversificar a gestão de ativos e monitorizar continuamente as transações. Especialmente ao usar carteiras baseadas no navegador, estas precauções são essenciais.

Este acontecimento pode reativar o debate sobre os riscos de custódia (custodial risks) na indústria. A revisão e reforço dos padrões de segurança tornam-se imprescindíveis para o desenvolvimento futuro do setor.