O risco por trás do script malicioso: Como um código oculto capturou chaves privadas na Trust Wallet

O que é um script e por que a extensão Chrome da Trust Wallet sofreu um ataque por código malicioso? A atualização v2.68 lançada a 24 de dezembro continha lógica JavaScript suspeita projetada para transmitir segredos da carteira para servidores externos. Os investigadores identificaram referências a um arquivo denominado “4482.js” dentro do pacote afetado, confirmando que o script operava de forma ofuscada para evitar detecção.

O alcance do incidente: De 6 a 7 milhões de dólares em perdas confirmadas

A Trust Wallet confirmou posteriormente que aproximadamente 7 milhões de dólares foram subtraídos durante o incidente. A empresa reagiu rapidamente, publicando a versão v2.69 a 25 de dezembro como medida de remediação. Segundo relatos de vítimas e investigadores, os roubos começaram a se manifestar horas após o lançamento da v2.68, gerando alertas públicos sobre o potencial alcance do comprometimento.

A ficha da extensão na Chrome Web Store indica aproximadamente 1.000.000 de utilizadores registados, o que estabelece um teto teórico para a exposição. No entanto, a vulnerabilidade prática dependia de quantos utilizadores inseriram uma frase semente enquanto a versão comprometida estava ativa nos seus navegadores.

Quem esteve em risco real: A importância da frase semente

Os investigadores enfatizaram que o maior risco afetou utilizadores que importaram ou inseriram uma frase semente após instalar a v2.68. Uma frase semente representa a chave mestra capaz de desbloquear todos os endereços atuais e futuros derivados dela, tornando-se o objetivo prioritário de qualquer atacante.

O script malicioso foi projetado especificamente para capturar este tipo de dados sensíveis. Embora outros componentes da extensão (versões móveis e outras distribuições) não tenham sido afetados, a versão do navegador Chrome concentrou toda a exposição durante o período vulnerável.

Passos de recuperação: Atualizar não é suficiente se a sua frase semente foi exposta

Esta distinção é crítica para os utilizadores. Atualizar para a v2.69 elimina a lógica maliciosa do script a partir daí, mas não protege automaticamente os ativos se a frase semente já foi transmitida para os atacantes.

Para utilizadores que inseriram uma frase semente enquanto a v2.68 estava instalada, os passos padrão incluem:

• Criar uma nova carteira a partir de uma frase semente completamente nova
• Transferir todos os fundos para os novos endereços derivados
• Revogar as aprovações de tokens onde for possível na cadeia blockchain
• Tratar qualquer dispositivo que geriu a frase semente como potencialmente comprometido até à sua verificação

Estas ações implicam custos operacionais significativos, incluindo taxas de gás para múltiplas transações entre cadeias e riscos associados ao uso de pontes de ativos durante o período de migração.

O modelo de confiança das extensões: Um ponto fraco na segurança do ecossistema

As extensões de navegador ocupam uma posição única e vulnerável: podem aceder às mesmas interfaces que os utilizadores usam para verificar transações. Pesquisas académicas demonstraram que scripts maliciosos podem evadir revisões automatizadas da Chrome Web Store e que a eficácia dos sistemas de deteção degrada-se com o tempo à medida que os atacantes evoluem as suas táticas.

O incidente sublinha a necessidade de implementar controlos de integridade de compilação mais robustos, incluindo builds reproduzíveis, assinaturas de chave dividida e opções de reversão claramente documentadas para situações de emergência.

Cenários de evolução do incidente: Projeções sobre o alcance final

O total de perdas continua variável, sujeito a descobertas tardias de vítimas e reclassificação de endereços na cadeia. Os investigadores projetam cenários para as próximas 2 a 8 semanas:

As variáveis-chave incluem se a captura de segredos se limitou unicamente à entrada de frases semente durante a v2.68, se são identificadas rotas adicionais de exposição, e a velocidade com que se eliminam os domínios imitadores que tentam enganar utilizadores oferecendo soluções falsas.

Resposta do mercado e recomendações imediatas

O preço do Trust Wallet Token (TWT) fechou em $0.87, refletindo uma queda de 2,24% nas últimas 24 horas, com máximo intradiário de $0.90 e mínimo de $0.86. O mercado reagiu com volatilidade moderada, sem uma reavaliação unidirecional clara.

Recomendações para utilizadores:

1. Desative imediatamente a extensão v2.68 se ainda estiver instalada
2. Atualize para v2.69 na Chrome Web Store oficial
3. Determine se inseriu uma frase semente enquanto a v2.68 esteve ativa—esta é a questão crítica
4. Se sim: migre os seus fundos para uma nova carteira; se não: a atualização é suficiente
5. Ignore qualquer comunicação que não provenha de canais oficiais da Trust Wallet, pois os golpistas tentam impersonar a equipa durante a remediação

A Trust Wallet confirmou o seu compromisso de reembolsar todos os utilizadores afetados e em breve partilhará instruções detalhadas sobre o processo de recuperação.