Brecha en la extensión de Trust Wallet para Chrome provoca pérdida de ~7 millones de dólares

Resumen del incidente

Trust Wallet ha pedido a los usuarios que actualicen la extensión de Google Chrome a la versión más reciente tras confirmar un «incidente de seguridad» que, según la compañía, provocó la pérdida aproximada de 7 millones de dólares en criptomonedas. La compañía ha indicado que la afectación corresponde a la versión 2.68 de la extensión. La entrada en la Chrome Web Store muestra que la extensión cuenta con cerca de un millón de usuarios.

Trust Wallet describió el problema como un «security incident» y urgió a la actualización de la extensión.

Contexto y por qué importa

Trust Wallet es una cartera multi‑chain y no custodial popular entre usuarios de criptomonedas. «No custodial» significa que los usuarios controlan sus claves privadas o frases semilla; por lo tanto, la seguridad del software cliente (aplicación o extensión) es crítica: cualquier vulnerabilidad o código malicioso que intercepte la firma de transacciones o exponga claves puede permitir el robo directo de fondos.

Las carteras en forma de extensiones de navegador combinan conveniencia y riesgo: facilitan interacción rápida con dApps y swaps, pero corren sobre un entorno que comparte procesos con el navegador y extensiones de terceros. Un compromiso en la cadena de suministro (por ejemplo, una actualización maliciosa), en la cuenta de desarrollador o en dependencias de software puede introducir código hostil que automatiza extracción de fondos.

Análisis técnico y comentario para profesionales

Desde un punto de vista técnico, los datos públicos disponibles indican la presencia de «código malicioso» en la versión afectada, pero no se ha publicado un análisis forense detallado por parte de Trust Wallet (al menos en la comunicación oficial citada). Para equipos de seguridad y responsables de operaciones en criptografía, hay varias líneas de investigación y control que conviene priorizar:

• Vector de inserción: determinar si el código malicioso llegó mediante actualización legítima de la aplicación (compromiso de la cuenta de desarrollador o de la infraestructura de despliegue), a través de dependencias de terceros o por manipulación del paquete en la Chrome Web Store.
• Alcance del código: identificar si el código actuaba como observador pasivo (exfiltración de datos) o activaba acciones automáticas (envío de transferencias, aprobación masiva de tokens). Esto define la severidad y las medidas de contención.
• Indicadores de compromiso (IoC): hashes de archivos, URLs de comando y control, dominios usados en exfiltración y direcciones de destino de los fondos sustraídos. Esos IoC son esenciales para bloquear tránsito de red y rastrear flujos de valor en cadenas públicas.
• Telemetría y trazabilidad: revisión de registros de build, firmas de paquetes y cadenas de custodia del despliegue para detectar fallos en la higiene de CI/CD que facilitaron la entrega del paquete comprometido.

En ausencia de un informe técnico completo, los practicantes deben asumir que la extensión pudo haber interceptado frases semilla, claves privadas o transacciones pendientes, y actuar en consecuencia.

Casos comparables y antecedentes

El ecosistema de extensiones de navegador y carteras ha sufrido incidentes relevantes en el pasado: actualizaciones maliciosas o extensiones clonadas han servido como vectores para robar credenciales, inyectar código y dirigir transacciones. Asimismo, la proliferación de permisos de «logueo» y autorizaciones de tokens (ERC‑20 approvals) ha permitido, en ocasiones, que contratos maliciosos o cuentas con permiso actúen sobre montos grandes sin la intervención directa del usuario.

Estas operaciones encajan en patrones conocidos: compromisos de cuentas de desarrollador, ataques a pipelines de despliegue y suplantación de extensiones legítimas por clones en tiendas de extensiones. Por eso, la buena práctica en la industria es desconfíar de actualizaciones no verificadas y utilizar medios de verificación alternativa (sitio web oficial, repositorio oficial firmado, o firmas de release).

Riesgos, implicaciones y recomendaciones accionables

Riesgos inmediatos para usuarios y la industria:

• Pérdida directa de activos si la extensión comprometida permitió firma o aprobación de transferencias.
• Exposición de frases semilla o claves privadas almacenadas en el entorno del navegador.
• Daño reputacional para Trust Wallet y mayor recelo hacia extensiones de navegador como interfaz principal para custodiar criptoactivos.

Recomendaciones concretas para usuarios y administradores de seguridad:

• Actualizar inmediatamente la extensión a la versión recomendada por Trust Wallet si la compañía ha publicado un parche. Si la actualización no está disponible o no inspira confianza, desinstalar la extensión hasta recibir comunicación oficial y verificación técnica.
• Transferir fondos sensibles a una cartera segura que no dependa del navegador: idealmente un monedero hardware (Ledger, Trezor u equivalentes) o una instalación nueva de wallet con frase/clave generada en un entorno aislado.
• Revocar aprobaciones de tokens y permisos concedidos desde la extensión afectada. Herramientas como Etherscan (función de aprobación) o servicios de revocación de terceros permiten anular allowances que podrían permitir que contratos se lleven tokens sin una nueva firma del usuario.
• Auditar actividad reciente: revisar el historial de transacciones de las direcciones propias en los exploradores de bloques (Etherscan, BSCScan, etc.) para detectar transferencias no autorizadas y anotar direcciones receptoras para su seguimiento.
• Restaurar la cartera desde una frase semilla solo en un entorno seguro y, si se sospecha compromiso de la frase, generar una nueva dirección y mover fondos a la nueva cartera.
• Evitar reingresar frases semilla en un navegador o en formularios que no sean de confianza; no copiar/pegar frases en portapapeles en dispositivos conectados a Internet que puedan tener software malicioso.
• Seguir comunicados oficiales del proyecto y, a ser posible, validar firmas de releases en repositorios oficiales (por ejemplo, GitHub) o confirmaciones desde canales verificados.

Implicaciones para la cadena de suministro de software

Este incidente subraya el riesgo sistémico de la cadena de suministro de software en proyectos de criptomoneda: las bibliotecas, pipelines de CI/CD y accesos de cuentas de desarrollador son puntos críticos. Las organizaciones deben fortalecer controles:

• Reforzar acceso a cuentas de publicación (autenticación multifactor, llaves hardware para CI, rotación de credenciales).
• Firmar releases y distribuir hashes comprobables en canales oficiales.
• Implementar revisiones de dependencias y políticas de bloqueo para librerías de terceros en builds de extensiones.
• Monitorizar comportamientos anómalos en nuevas versiones, incluyendo pruebas automatizadas que detecten ejecuciones de red no esperadas o llamadas a dominios externos.

Conclusión

La brecha en la extensión de Trust Wallet —afectando la versión 2.68 y con un impacto reportado de alrededor de 7 millones de dólares— vuelve a poner el foco en la fragilidad de las interfaces de usuario para criptoactivos cuando se ejecutan en navegadores. Usuarios y administradores deben actuar con rapidez: actualizar o retirar la extensión, revisar y revocar permisos, trasladar fondos a entornos más seguros y seguir las comunicaciones oficiales. Para los equipos de desarrollo, el incidente refuerza la necesidad de controles estrictos en la cadena de suministro de software y de prácticas de despliegue que mitiguen el riesgo de inyectar código malicioso en una base de usuarios masiva.

Source: thehackernews.com