Cómo la extensión del navegador de Trust Wallet drenó fondos – Explicación paso a paso

El proceso del incidente de seguridad: Desde la instalación hasta el robo

Diciembre de 2024 marcó un punto de inflexión para la seguridad de las carteras en navegador. Una actualización aparentemente normal para la extensión de Trust Wallet contenía lógica oculta que drenó sistemáticamente las cuentas de los usuarios – millones de dólares en minutos.

Fase 1: La actualización sospechosa

El 24 de diciembre apareció una nueva versión de la extensión. A simple vista parecía inofensiva:

• Sin advertencias de seguridad en las notas de lanzamiento
• Proceso de actualización estándar
• Los usuarios la instalaron como de costumbre

El engaño fue exitoso. Nadie notó de inmediato que no era una actualización de mantenimiento ordinaria.

Fase 2: Cambios de código ocultos en un archivo JavaScript

Investigadores de seguridad que analizaron los archivos de la extensión descubrieron una lógica nueva en 4482.js. Esa fue la primera señal de advertencia. En una extensión de wallet, toda comunicación saliente debe ser sometida a un escrutinio extremo – aquí se había roto una muralla.

Fase 3: Disfrazada como código de análisis legítimo

La lógica maliciosa estaba astutamente camuflada:

• Parecía código de telemetría estándar
• No se activaba constantemente
• Solo funcionaba bajo ciertas condiciones

Este diseño dificultaba mucho su detección. Pruebas simples quizás no habrían encontrado el código sospechoso.

Fase 4: El disparador crítico – Importación de frase semilla

Análisis de ingeniería inversa sugieren que la lógica se activaba justo cuando un usuario importaba una frase semilla en la extensión. Ese era el momento perfecto para los atacantes – porque:

• Una frase semilla concede control total sobre la wallet
• Es un proceso generalmente único
• Los criminales solo necesitan actuar una vez

Los usuarios que solo usaban wallets existentes quizás evitaban este disparador.

Fase 5: Exfiltración de datos a un dominio falso

Cuando se cumplía la condición, el código supuestamente enviaba datos de la wallet a un servidor externo:

metrics-trustwallet[.]com

El engaño fue perfecto:

• El nombre del dominio parecía una subdominio real de Trust Wallet
• Se registró días antes
• No estaba documentado públicamente
• Poco después quedó offline

Fase 6: Robo automatizado de fondos

Poco después de que los usuarios importaban frases semilla, miles de wallets vaciadas reportaron:

• Transacciones en minutos
• Múltiples activos movidos simultáneamente
• Sin interacción humana necesaria

Los datos en cadena mostraban patrones automatizados – los atacantes tenían suficiente control para firmar transacciones por sí mismos.

Fase 7: Consolidación a través de múltiples wallets

Los fondos robados fluyeron a través de decenas de cuentas de atacantes. Esto no fue casualidad:

• Varias direcciones de destino reducen riesgos de rastreo
• El scripting automatizado era evidente
• El comportamiento corresponde a exploits profesionales

Estimaciones totales basadas en transacciones rastreadas: varios millones de dólares.

Fase 8: Rápido borrado de huellas

Tras alertar a la comunidad:

• La domain sospechosa fue desactivada
• No hubo una explicación pública inmediata
• Se tomaron capturas y evidencias en caché

Este es un comportamiento clásico de los atacantes: destruir la infraestructura en cuanto se compromete.

Fase 9: Confirmación oficial tardía

Trust Wallet finalmente confirmó:

• Un incidente de seguridad afectó versiones específicas de la extensión
• Los usuarios móviles no estaban afectados
• Se recomendó una actualización inmediata o desactivar la extensión

Pero quedaron preguntas abiertas:

• ¿Por qué existía ese dominio?
• ¿Se divulgaron frases semilla?
• ¿Participaron actores internos o externos?

Estas lagunas alimentaron las especulaciones.

Lo que sabemos con certeza

✓ Una actualización de la extensión del navegador introdujo conexiones salientes sospechosas ✓ Los usuarios perdieron fondos inmediatamente después de importar la frase semilla ✓ El incidente estuvo limitado a ciertas versiones ✓ Trust Wallet confirmó la brecha de seguridad

Lo que indican fuertes indicios

→ Inyección de código malicioso en la cadena de suministro → Las frases semilla o capacidades de firma fueron comprometidas → El código de análisis fue utilizado como arma

Lo que aún está por esclarecerse

? Si el código fue introducido intencionadamente o si fue comprometido upstream ? Número exacto de usuarios afectados ? Identidad de los atacantes ? Si se exfiltraron otros datos sensibles

Por qué este incidente afecta a toda la industria

Este incidente no fue un ataque de phishing estándar. Muestra:

La fragilidad de las extensiones de navegador – Tienen acceso a claves privadas y frases semilla. Un pequeño error de código o una vulnerabilidad puede ser catastrófico.

El riesgo de confiar ciegamente en las actualizaciones – Los usuarios instalan actualizaciones automáticamente, sin revisar el código. Las actualizaciones son un vector de ataque perfecto.

Cómo puede ser pervertido el código de análisis – Las funciones de telemetría parecen legítimas, pero pueden robar datos sensibles.

El momento más crítico: gestión de frases semilla – Importar una frase semilla es el momento más peligroso en el uso de una wallet.

Un bug de corta duración o una vulnerabilidad colocada intencionadamente basta para robar millones en minutos.

La lección: En la seguridad cripto no hay detalles pequeños. Cada actualización merece precaución, no confianza.