Como a extensão do navegador Trust Wallet esvaziou a fortuna – passo a passo explicado

O percurso do incidente de segurança: Desde a instalação até ao roubo

Dezembro de 2024 marcou um ponto de viragem na segurança das carteiras de navegador. Uma atualização aparentemente normal para a extensão do Trust Wallet no navegador continha lógica escondida, que drenou sistematicamente contas de utilizador – milhões de dólares em minutos.

Fase 1: A atualização suspeita

A 24 de dezembro, foi lançado um novo release da extensão. À primeira vista, parecia inofensivo:

• Sem alertas de segurança nas notas de lançamento
• Processo de atualização padrão
• Os utilizadores instalaram-no como de costume

A enganação foi bem-sucedida. Ninguém percebeu imediatamente que não se tratava de uma atualização de manutenção comum.

Fase 2: Alterações de código escondidas num ficheiro JavaScript

Pesquisadores de segurança que analisaram os ficheiros da extensão descobriram nova lógica em 4482.js. Esse foi o primeiro sinal de alerta. Em uma extensão de carteira, toda comunicação de saída deve estar sob escrutínio extremo – aqui, uma barreira tinha sido quebrada.

Fase 3: Disfarçada como código legítimo de análise

A lógica maliciosa estava astutamente disfarçada:

• Parecia um código de telemetria padrão
• Não ativava constantemente
• Só funcionava sob condições específicas

Este design dificultava bastante a sua deteção. Testes simples poderiam não ter encontrado o código suspeito.

Fase 4: O gatilho crítico – Importação de frase-semente

Análises de engenharia reversa sugerem que a lógica ativava-se exatamente quando um utilizador importava uma frase-semente na extensão. Esse era o momento perfeito para os atacantes – pois:

• Uma frase-semente concede controlo total sobre a carteira
• Geralmente, é um processo único
• Os criminosos só precisam agir uma vez

Utilizadores que apenas usavam carteiras existentes podem ter evitado esse gatilho.

Fase 5: Exfiltração de dados para um domínio falso

Quando a condição era satisfeita, o código supostamente enviava dados da carteira a um servidor externo:

metrics-trustwallet[.]com

A enganação foi perfeita:

• O nome do domínio parecia uma subdomínio real do Trust Wallet
• Foi registado dias antes
• Não estava documentado publicamente
• Ficou offline pouco tempo depois

Fase 6: Roubo automatizado de fundos

Logo após os utilizadores importarem frases-semente, milhares de carteiras vazias foram reportadas:

• Transações realizadas em minutos
• Vários ativos movidos simultaneamente
• Nenhuma interação humana necessária

Dados na blockchain mostraram padrões automatizados – os atacantes tinham controlo suficiente para assinar transações autonomamente.

Fase 7: Consolidação através de múltiplas carteiras

Os fundos roubados passaram por dezenas de contas de atacantes. Isto não foi por acaso:

• Múltiplos endereços de destino reduziam riscos de rastreamento
• Scripts automatizados eram evidentes
• O comportamento corresponde a exploits profissionais

Estimativas globais, com base nas transações rastreadas: vários milhões de dólares.

Fase 8: Rápida dissimulação de pistas

Após a comunidade alertar:

• O domínio suspeito foi desativado
• Nenhuma declaração pública foi feita imediatamente
• Capturas de ecrã e provas em cache foram críticas

Este é comportamento clássico de atacantes: destruir a infraestrutura assim que ela é comprometida.

Fase 9: Confirmação oficial tardia

O Trust Wallet confirmou finalmente:

• Um incidente de segurança afetou versões específicas da extensão
• Utilizadores móveis não foram afetados
• Recomendaram uma atualização imediata ou desativação

No entanto, ficaram questões em aberto:

• Por que existia o domínio?
• Foram expostas frases-semente?
• Participaram atores internos ou externos?

Estas lacunas alimentaram especulações.

O que sabemos com certeza

✓ Uma atualização da extensão do navegador introduziu conexões de saída suspeitas ✓ Utilizadores perderam fundos imediatamente após a importação da frase-semente ✓ O incidente foi limitado a versões específicas ✓ O Trust Wallet confirmou a violação de segurança

O que fortes indícios sugerem

→ Injeção de código malicioso na cadeia de fornecimento → Frases-semente ou capacidades de assinatura foram comprometidas → Código de análise foi usado como arma

O que ainda permanece em aberto

? Se o código foi inserido intencionalmente ou se foi comprometido na origem ? Número exato de utilizadores afetados ? Identidade dos atacantes ? Se outros dados sensíveis foram exfiltrados

Por que este incidente afeta toda a indústria

Este incidente não foi um ataque de phishing padrão. Ele demonstra:

A fragilidade das extensões de navegador – Elas têm acesso às chaves privadas e frases-semente. Um pequeno erro de código ou uma vulnerabilidade pode ser catastrófico.

O risco de confiança cega em atualizações – Os utilizadores instalam atualizações automaticamente, sem verificar o código. As atualizações são um vetor de ataque perfeito.

Como o código de análise pode ser pervertido – Funcionalidades de telemetria parecem legítimas, mas podem desviar dados sensíveis.

O momento mais crítico: gestão de frases-semente – Importar uma frase-semente é o momento mais perigoso na utilização da carteira.

Um bug de curta duração ou uma vulnerabilidade intencionalmente colocada é suficiente para roubar milhões – em minutos.

A lição: Na segurança de criptomoedas, não há detalhes pequenos. Cada atualização merece cautela, não confiança.