Los usuarios reportan pérdidas tras actualizar la extensión de Trust Wallet

• La extensión de Trust Wallet versión 2.68 está relacionada con la sospecha de compromiso de la cadena de suministro tras la actualización del 24 de diciembre.
• Los usuarios reportaron vaciado de billeteras después de importar frases semilla; pérdidas estimadas superiores a 6 millones de dólares.
• Trust Wallet confirmó el problema, aconsejó actualizar a la versión 2.69; Las aplicaciones móviles no se vieron afectadas.

Surgieron problemas de seguridad en torno a la extensión del navegador Trust Wallet después de informes relacionados con una actualización reciente con posible acceso no autorizado y vaciado de billeteras, lo que generó advertencias de investigadores de blockchain y desarrolladores orientados a la seguridad. El incidente llamó la atención sobre la versión 2.68 de la extensión, que posteriormente confirmó Trust Wallet.

El problema surgió tras las notificaciones del investigador de blockchain ZachXBT, quien informó que recibió mensajes de cientos de usuarios que afirmaban que los saldos de sus billeteras disminuyeron después de importar frases semilla en la extensión del navegador.

Según revisiones técnicas publicadas por desarrolladores, la actualización de la extensión del navegador lanzada el 24 de diciembre podría haber resultado en la introducción de código malicioso a través de una sospecha de compromiso de la cadena de suministro.

Los investigadores que examinan la actualización afirman que se incorporó un archivo JavaScript recientemente agregado en la extensión y aparentemente disfrazado como funcionalidad analítica. Se informa que el archivo se activaba solo al importar una frase semilla, después de lo cual transmitía datos sensibles relacionados con la billetera a un dominio externo diseñado con la infraestructura oficial de Trust Wallet.

Indicadores de un posible compromiso de la cadena de suministro

El dominio externo mencionado en los informes fue registrado solo unos días antes del incidente y posteriormente salió de línea. Los analistas señalaron que la creación reciente del dominio combinada con el momento de la actualización generó preocupaciones de que el incidente podría ser el resultado de un ataque coordinado a la cadena de suministro, en lugar de intentos de phishing aislados o errores de usuario.

El análisis on-chain al que hacen referencia los investigadores de la comunidad mostró que los fondos comprometidos pasaron por varias direcciones. Según ellos, este patrón a menudo se asocia con métodos automatizados de explotación. Las estimaciones públicas publicadas en internet sugerían que las pérdidas podrían superar los $6 millones, aunque estas cifras no fueron confirmadas de forma independiente.

Trust Wallet confirma el alcance y emite corrección de problemas

Posteriormente, el 25 de diciembre, Trust Wallet confirmó que el incidente de seguridad se limitó a la extensión del navegador versión 2.68. En un comunicado, la compañía recomendó a los usuarios desactivar inmediatamente esta versión y actualizar a la versión 2.69, que según dijeron, contiene la corrección. Trust Wallet agregó que ninguna otra versión de las extensiones del navegador ni ninguna de sus aplicaciones móviles se vieron afectadas.

La compañía también declaró que su servicio de soporte comenzó a contactar a los usuarios afectados y está investigando el incidente. No se proporcionaron detalles sobre la causa técnica o posible compensación.

Relacionado: Trust Wallet restaura saldos después de fallo de sincronización de datos; Fondos seguros