- Ataque à extensão do Chrome desviou cerca de US$ 7 milhões de centenas de carteiras
- Chave vazada da Chrome Web Store permitiu publicação de versão maliciosa
- Trust Wallet promete reembolsar 100% das perdas e alerta para golpes falsos
A Trust Wallet anunciou a abertura de um processo formal de compensação para usuários afetados por um ataque à sua extensão no Google Chrome.
O ataque roubou cerca de US$ 7 milhões em criptoativos.
Como ocorreu o ataque à extensão da Trust Wallet
O incidente envolveu a versão 2.68 da extensão do Chrome, publicada em 24 de dezembro, além disso, o código malicioso escapou dos controles internos da empresa. Segundo a CEO da Trust Wallet, Eowyn Chen, uma chave de API da Chrome Web Store vazou, com isso, invasores burlaram o processo padrão de liberação.
Por isso, a empresa publicou a atualização sem as verificações de segurança habituais, como consequência, usuários instalaram a versão comprometida.
A empresa de segurança SlowMist identificou um malware que coletava frases-semente das carteiras. Além disso, o ataque usava uma biblioteca de análise de código aberto modificada.
De acordo com a PeckShield, os criminosos roubaram bitcoin, ether e solana, até o momento, eles moveram cerca de US$ 4 milhões por corretoras centralizadas.
Enquanto isso, os atacantes ainda mantêm US$ 2,8 milhões em suas carteiras, portanto, analistas seguem monitorando os endereços envolvidos.
A Trust Wallet lançou a correção na versão 2.69, em 25 de dezembro. No entanto, usuários que acessaram a extensão antes de 26 de dezembro, às 11h UTC, correram maior risco.
Processo de reembolso e alerta contra novos golpes
Diante do ocorrido, a Trust Wallet abriu um formulário oficial para pedidos de reembolso, o acesso ocorre apenas pelo portal de suporte da empresa. Para concluir o pedido, usuários informam e-mail, país de residência e endereços comprometidos. Além disso, eles enviam hashes das transações afetadas.
“Estamos trabalhando sem parar para finalizar o processo de compensação”, afirmou a empresa no X.
Segundo a Trust Wallet, cada caso exige verificação cuidadosa.
Enquanto isso, Changpeng Zhao, fundador da Binance, confirmou a cobertura total das perdas.
“Até agora, US$ 7 milhões foram afetados. A Trust Wallet vai cobrir”, escreveu.
Além disso, Zhao reforçou que os fundos dos usuários estão SAFU, vale lembrar que a Binance adquiriu a Trust Wallet em 2018. Entretanto, golpistas já exploram o caso com formulários falsos, por esse motivo, a empresa orienta usuários a evitarem links não oficiais.
O ataque ganhou atenção após alerta do investigador ZachXBT, no dia de Natal, desde então, usuários relatam drenagem imediata após a atualização.
Riscos e impacto no mercado
O episódio reforça os riscos associados a extensões de navegador no mercado cripto. Além disso, ele destaca falhas graves na cadeia de distribuição de software.
Por um lado, a resposta rápida reduz prejuízos imediatos, por outro, o impacto reputacional permanece relevante para a Trust Wallet e o setor.
