Trust Wallet confirma un ataque a la cadena de suministro de 8,5 millones de dólares causado por una clave API de Chrome filtrada

Trust Wallet confirma un ataque a la cadena de suministro de 8,5 millones de dólares causado por una clave API de Chrome filtrada

Trust Wallet ha confirmado que una actualización maliciosa de una extensión del navegador introducida durante las vacaciones de Navidad fue responsable del robo de aproximadamente 8,5 millones de dólares en fondos de usuarios, lo que supone uno de los ataques a la cadena de suministro de monederos más graves de 2025.

En una actualización detallada posterior al incidente, la compañía reveló que los atacantes explotaron una clave API filtrada de Google Chrome Web Store, lo que les permitió subir una versión comprometida de la extensión Trust Wallet directamente a Chrome Store sin pasar por la revisión interna del código o los controles de seguridad.

Cargando tweet...

- View original post

Lo que ha ocurrido

Entre el 24 y el 26 de diciembre, los usuarios que instalaron la extensión de navegador Trust Wallet versión 2.68 descargaron malware sin saberlo. Los informes iniciales de la comunidad señalaron drenajes sospechosos, que Trust Wallet ha confirmado ahora que implicaban código malicioso diseñado para exfiltrar frases semilla mnemónicas.

El malware disfrazaba los datos salientes como tráfico analítico rutinario enviado a un dominio falso (metrics-trustwallet.com) controlado por el atacante. Como la actualización se entregó a través de la tienda oficial Chrome Web Store utilizando credenciales válidas, eludió las señales de advertencia típicas.

Trust Wallet ha declarado que tiene una "alta confianza" en que el incidente esté relacionado con "Sha1-Hulud", un ataque a la cadena de suministro de toda la industria en noviembre de 2025 que expuso secretos de desarrolladores en múltiples sectores tecnológicos. La empresa cree que esta brecha anterior permitió a los atacantes acceder al código fuente de Trust Wallet y a la clave API específica necesaria para publicar actualizaciones.

Impacto financiero y respuesta

La empresa ha identificado 2.520 direcciones de monederos afectadas, con pérdidas totales estimadas en 8,5 millones de dólares.

Desde entonces, Trust Wallet

• Revocado las credenciales comprometidas y retrocedido a una versión segura (v2.69).
• Se ha comprometido a reembolsar voluntariamente a todas las víctimas que cumplan los requisitos, una respuesta inusualmente fuerte en el sector de las criptocarteras.
• Se ha implementado un nuevo proceso de verificación para filtrar miles de reclamaciones falsas.

Se insta a los usuarios que instalaron la versión 2.68 a asumir que sus monederos están comprometidos, mover los fondos inmediatamente y regenerar las frases semilla en un dispositivo seguro.

Por qué es importante

Este incidente pone de manifiesto un riesgo crítico para toda la industria: incluso cuando el código de la aplicación es seguro, el control sobre las claves de distribución puede convertirse en un único punto de fallo.

A diferencia de los exploits de contratos inteligentes tradicionales, este ataque

• No requería ninguna vulnerabilidad de blockchain.
• Se dirigió directamente a los usuarios finales a través de infraestructuras de confianza (tiendas de aplicaciones oficiales).
• Se produjo durante un periodo vacacional en el que la vigilancia suele ser menor.

Los expertos en seguridad señalan que la sofisticación del ataque sugiere que se trata de una amenaza muy organizada, lo que aumenta la preocupación sobre los monederos basados en extensiones y la gestión de claves de lanzamiento en todo el sector.

Keep More On Every Order: 0% Maker, 0.02% Taker

Sign Up Now

Lo que los usuarios deben hacer ahora

• Compruebe que la versión de su extensión es 2.69 o superior.
• Si alguna vez se instaló la versión 2.68, considere que el monedero está en peligro.
• Traslade inmediatamente los fondos a un nuevo monedero.
• Envíe una reclamación a través de los canales de soporte oficiales de Trust Wallet si se ha visto afectado.