- Trust Wallet atribui o ataque a uma extensão do Chrome da versão 2.68, que drenou cerca de 2.520 endereços de carteira, somando aproximadamente 8,5 milhões de dólares sob controle de 17 carteiras atacante; mais de 5.000 solicitações de reembolso foram abertas em 29 de dezembro.
- A Chrome Web Store removeu temporariamente a extensão devido a um bug durante o lançamento de uma nova versão, atrasando a ferramenta de verificação de reivindicações; a Google informou que trata o assunto internamente e alerta para versões falsas.
- O incidente tem ligação com uma cadeia de suprimentos chamada Sha1-Hulud; credenciais de publicação comprometidas permitiram que o atacante carregasse a extensão maliciosa, que conseguiu acessar dados de carteiras e realizar transações não autorizadas.
- A Trust Wallet pôs fim à versão comprometida, lançou a versão 2.69 e desativou credenciais de publicação utilizadas pelo atacante; anunciou um esquema de reembolso voluntário para as vítimas.
- O processo de reivindicação formal abriu em 29 de dezembro recebeu mais de cinco mil solicitações, com número de carteiras verificadas bem menor, gerando preocupações sobre duplicidades ou fraudes; uma segunda verificação de propriedade foi prevista para a próxima atualização.
Trust Wallet confirmou que uma extensão de Chrome foi comprometida na virada de dezembro, atingindo a versão 2.68. Cerca de 2.520 endereços de carteira foram drenados, envolvendo aproximadamente 8,5 milhões de dólares sob controle de 17 wallets dos atacantes. A empresa abriu um processo formal de reivindicação em 29 de dezembro e já recebeu mais de 5.000 solicitações.
A investigação aponta falha na cadeia de suprimentos, associada ao ataque Sha1-Hulud, com credenciais de publicação comprometidas. Em resposta, a equipe publicou a versão 2.69 e implementou um mecanismo de verificação de propriedade para as reclamações, buscando aprimorar a identificação de vítimas.
Remoção temporária e atraso na verificação
A extensão ficou temporariamente fora da Chrome Web Store por conta de um bug durante o lançamento de uma nova versão. A Google informou que trata o assunto internamente e alertou usuários para evitar versões falsas ou imitadoras da extensão.
Repercussos para vítimas e medidas adotadas
A remoção atrasou a disponibilização da ferramenta de verificação de reivindicações, essencial para confirmar posse das carteiras e solicitar ressarcimento. A Trust Wallet mantém o recuo para a versão 2.69 e reforça a necessidade de cautela com links e extensões não oficiais.
Entre na conversa da comunidade