A Trust Wallet confirmou uma vulnerabilidade na versão 2.68 de sua extensão para Chrome, que permitia o roubo de fundos. Saiba mais sobre os detalhes técnicos, a correção na versão 2.69 e as medidas de proteção urgentes.
A segurança dos usuários da Trust Wallet que utilizam a extensão para o navegador Google Chrome foi comprometida após a implementação de uma atualização defeituosa. A equipe de desenvolvimento da carteira de criptomoedas confirmou recentemente a existência de uma vulnerabilidade. Vulnerabilidade crítica na versão 2.68 do software, que permitia que agentes externos executassem transações e desviassem fundos sem exigir aprovação do usuário ou assinatura manual.
Este incidente de segurança gerou uma resposta imediata da comunidade on-chain e da própria empresa, que instaram todos os usuários da versão desktop a Atualize imediatamente para a versão 2.69..
Diferentemente de ataques de phishing ou engenharia social, essa falha reside no código oficial do aplicativo, impactando diretamente a integridade da custódia de ativos. É importante ressaltar que a vulnerabilidade se limita exclusivamente à extensão do navegador; os aplicativos móveis da Trust Wallet para iOS e Android não são afetados e permanecem seguros. relatado a companhia.
Negocie criptomoedas com segurança na Bit2Me.A vulnerabilidade que expôs os usuários da Trust Wallet
A vulnerabilidade em questão foi descoberta por meio de relatos esporádicos de usuários que observaram saídas inexplicáveis de capital em seus saldos. A situação se agravou quando o pesquisador de segurança conhecido como ZachXBT O relatório consolidou as reclamações e emitiu um alerta público. De acordo com o relatório do especialista, os usuários que receberam a atualização automática da extensão do Chrome para a versão 2.68 começaram a sofrer transferências não autorizadas poucas horas após a instalação.
Embora a origem dessa vulnerabilidade permaneça oficialmente não confirmada, parece estar relacionada a um falha na lógica de validação da assinatura dentro da extensão. Em circunstâncias normais, qualquer transferência de fundos exige que o usuário confirme a transação usando uma senha ou autenticação biométrica na interface. No entanto, uma falha no código da versão 2.68 permitia que essa etapa crítica fosse ignorada, deixando as carteiras vulneráveis a scripts que poderiam iniciar transferências com as permissões da sessão ativa.
Dada a gravidade do caso, Trust Wallet lançou a versão 2.69. Para corrigir a vulnerabilidade, a empresa pediu aos usuários que não abrissem a extensão caso acreditassem estar utilizando a atualização comprometida. A simples ativação da interface poderia desencadear a execução de código malicioso latente.
A empresa explicou que a maneira mais segura de resolver o problema era forçar uma atualização do navegador ou reinstalar a extensão diretamente da loja oficial, verificando se era a versão corrigida antes de inserir novamente as credenciais ou desbloquear os fundos.
Este incidente de segurança destacou mais uma vez uma lição que o ecossistema cripto tende a esquecer. A segurança do blockchain permanece intacta, mas o risco não reside na rede em si, e sim nas ferramentas que a conectam aos usuários. Nenhum blockchain foi comprometido, mas o software que os interligava falhou, revelando que a robustez do sistema é irrelevante se a verdadeira vulnerabilidade estiver na interface que protege as chaves privadas.
Compre criptomoedas: gerencie seu portfólio aquiO risco oculto nas extensões de navegador
Este incidente de segurança põe em risco a prática comum de lidar com grandes somas de criptomoedas por meio de navegadores como o Chrome. As extensões que usamos para conectar carteiras operam com amplo acesso, permitindo que leiam e alterem dados em qualquer página que visitamos. Essa mesma flexibilidade, projetada para agilizar as transações, abre as portas para sérios problemas caso alguém invada o código. Especialistas em segurança cibernética vêm alertando sobre isso há algum tempo. As atualizações representam o elo mais frágil, pois um único pacote infectado na cadeia de desenvolvimento pode afetar instantaneamente milhares de pessoas.
Ao contrário de aplicativos de desktop independentes ou de uma carteira fria desconectada, essas extensões compartilham um espaço sempre online, exposto a scripts de toda a internet. Nos últimos meses, o mundo das criptomoedas tem presenciado diversos ataques contra elas, desde cópias falsas de extensões populares que capturam chaves privadas até injeções em atualizações de ferramentas de negociação. No entanto, o que torna este caso único é sua origem legítima. O problema surgiu no software oficial, baixado diretamente da Chrome Web Store.
À luz deste incidente recente, analistas de transações em blockchain insistem que esses perigos são inerentes ao design das carteiras online — carteiras que estão sempre prontas para operar com um único clique. Essa velocidade amplia as oportunidades para ataques, e este evento deixa claro que diversificar a custódia de criptoativos é crucial. Para indivíduos de alto patrimônio, é aconselhável evitar depender exclusivamente de ferramentas com atualizações automáticas fora do nosso controle direto.
Junte-se à Bit2Me e negocie criptomoedas.Medidas de contenção e perspectivas do usuário
Enquanto a investigação continua para determinar a origem da vulnerabilidade e a extensão total dos prejuízos, a atenção agora está voltada para o gerenciamento da crise e o apoio às vítimas.
ZachXBT tomou a iniciativa de coletar os endereços afetados para rastrear o fluxo de fundos roubados, uma prática padrão destinada a impedir a lavagem de dinheiro por parte dos criminosos. Simultaneamente, o pesquisador questionou publicamente a equipe da Trust Wallet sobre a possibilidade de compensar os usuários afetados, uma questão delicada que muitas vezes define a reputação a longo prazo dos provedores de serviços neste setor.
A equipe de suporte da empresa começou a entrar em contato com os usuários afetados para orientá-los sobre os próximos passos, embora a natureza irreversível das transações em blockchain dificulte a recuperação direta dos fundos.
A recomendação geral para quem suspeita que sua carteira digital possa ter sido comprometida é considerar esse endereço "perdido" e transferir quaisquer ativos restantes para um novo endereço gerado a partir de uma frase mnemônica completamente nova. Manter o mesmo endereço, mesmo após atualizar o software, pode representar um risco residual desnecessário.
Certificado
Curso de Blockchain
Nível básicoFaça este curso onde explicamos o blockchain de uma forma clara, simples e concisa para que você tenha uma ideia bem clara do que consiste essa nova tecnologia.
