Trust Wallet enfrenta ola de reclamaciones fraudulentas tras hackeo de extensión de Chrome de $7 millones

La CEO Eowyn Chen reveló el lunes que Trust Wallet identificó 2,596 direcciones de billetera comprometidas del hackeo del 24 de diciembre. Sin embargo, la compañía recibió casi 5,000 reclamos de reembolso, una discrepancia que apunta a envíos fraudulentos generalizados.

"Debido a esto, la verificación precisa de la propiedad de la billetera es fundamental para garantizar que los fondos se devuelvan a las personas correctas", declaró Chen. "Nuestro equipo está trabajando diligentemente para verificar los reclamos; combinando múltiples puntos de datos para distinguir a las víctimas legítimas de los actores malintencionados".

La enorme brecha entre las víctimas reales y los reclamos totales ha obligado a Trust Wallet a abandonar la velocidad en favor de la precisión, marcando un giro operativo significativo en uno de los incidentes de seguridad cripto más notables del año.

Cómo se Desarrolló el Ataque

La violación comenzó cuando los atacantes obtuvieron una Clave API filtrada de Chrome Web Store, lo que les permitió eludir las comprobaciones de seguridad internas de Trust Wallet. El 24 de diciembre a las 12:32 UTC, la versión comprometida 2.68 de la extensión de Chrome se publicó en la tienda oficial de Google.

Según el análisis de la firma de seguridad blockchain SlowMist, el código malicioso estaba cuidadosamente oculto dentro de una biblioteca de análisis modificada llamada posthog-js. Cuando los usuarios desbloqueaban sus billeteras, el código extraía secretamente sus frases semilla (las claves maestras de las billeteras de criptomonedas) y las enviaba a un servidor controlado por los atacantes.

El dominio utilizado para recopilar datos robados, "api.metrics-trustwallet.com", se registró el 8 de diciembre, lo que sugiere que el ataque se planeó con al menos dos semanas de anticipación. El investigador de criptomonedas ZachXBT señaló el problema por primera vez el día de Navidad después de que cientos de usuarios informaran billeteras vaciadas.

Fuente: @EowynChen

Trust Wallet lanzó una versión corregida 2.69 el 25 de diciembre. La violación afectó solo a los usuarios de la extensión de Chrome que iniciaron sesión antes del 26 de diciembre a las 11:00 UTC. Los usuarios de aplicaciones móviles y otras versiones de navegadores permanecieron seguros.

La Cuestión del Informante Interno

Múltiples figuras de la industria han expresado preocupaciones sobre la posible participación interna en el ataque. El cofundador de Binance, Changpeng Zhao, cuya compañía posee Trust Wallet, dijo que la explotación fue "muy probablemente" llevada a cabo por un informante interno, aunque no proporcionó evidencia adicional.

El cofundador de SlowMist, Yu Xian, señaló que el atacante demostró un conocimiento detallado del código fuente de la extensión y había preparado la infraestructura semanas antes de ejecutar el robo. La capacidad de obtener y hacer mal uso de una Clave API de Chrome Web Store sugiere dispositivos de desarrolladores comprometidos o permisos de implementación robados.

Chen confirmó que la compañía está realizando una investigación forense más amplia junto con el proceso de compensación, pero no ha confirmado si hubo participación de informantes internos.

Fondos Robados y Lavado de Dinero

El ataque resultó en aproximadamente $7 millones en pérdidas en múltiples criptomonedas, incluyendo Bitcoin, Ethereum y Solana. La firma de seguridad blockchain PeckShield rastreó más de $4 millones de los fondos robados moviéndose a través de exchanges centralizados como ChangeNOW, FixedFloat y KuCoin. Aproximadamente $2.8 millones permanecieron en billeteras controladas por atacantes al 26 de diciembre.

El rápido movimiento de fondos a través de múltiples exchanges y redes blockchain ha complicado los esfuerzos de recuperación y ha dificultado el rastreo de los atacantes.

Proceso de Compensación Bajo Escrutinio

El fundador de Binance, Zhao, se ha comprometido a cubrir todas las pérdidas verificadas, declarando que "los fondos de los usuarios están SAFU", un término de la industria cripto que significa "Fondo de Activos Seguros para Usuarios". Sin embargo, el proceso de verificación se ha vuelto más complejo de lo esperado inicialmente.

Trust Wallet requiere que los usuarios afectados envíen información detallada a través de un formulario de soporte oficial, incluidas direcciones de email, direcciones de billetera comprometidas, direcciones de atacantes y hashes de transacciones. La compañía enfatizó que la precisión ahora tiene prioridad sobre la velocidad.

El aumento de reclamos falsos destaca un problema recurrente en incidentes de seguridad de criptomonedas. Si bien la transparencia de blockchain permite rastrear incidentes, vincular direcciones de billetera a usuarios verificados sin registros centralizados sigue siendo un desafío. Esta tensión se vuelve aguda cuando hay millones de dólares en juego.

Chen dijo que el equipo está combinando múltiples métodos de verificación para evaluar los reclamos, pero no detalló los criterios específicos que se están utilizando. La fase de verificación marca una prueba crítica de si Trust Wallet puede filtrar con éxito los envíos fraudulentos mientras mantiene la confianza entre las víctimas genuinas.

Advertencia Sobre Estafas Secundarias

Trust Wallet emitió advertencias urgentes sobre estafadores que explotan la situación. La compañía informó haber visto formularios de compensación falsos difundidos a través de anuncios de Telegram, cuentas de soporte suplantadas y mensajes directos que solicitan claves privadas o frases semilla.

El proceso de compensación oficial nunca solicita contraseñas, claves privadas o frases de recuperación. Los usuarios solo deben enviar reclamos a través del portal de soporte verificado de Trust Wallet en trustwallet-support.freshdesk.com. Cualquier otra comunicación que afirme ofrecer reembolso debe tratarse como fraudulenta.

Esta segunda ola de estafas agrega otra capa de riesgo para las víctimas que ya están lidiando con fondos robados. La compañía enfatizó que los usuarios deben verificar que todas las comunicaciones provengan de canales oficiales de Trust Wallet antes de tomar cualquier acción.

Implicaciones de Seguridad Más Amplias

El incidente de Trust Wallet se ajusta a un patrón más amplio de ataques a la cadena de suministro dirigidos a usuarios de criptomonedas en 2024. Según datos de Chainalysis, el robo de criptomonedas alcanzó los $6.75 mil millones en 2024, con compromisos de billeteras personales aumentando a 158,000 desde 64,000 el año anterior.

Las extensiones de navegador presentan desafíos de seguridad únicos porque operan con permisos elevados y pueden acceder a datos sensibles del usuario. Una sola actualización comprometida puede afectar a cientos de miles de usuarios en cuestión de horas.

El incidente también demuestra cómo los procesos de verificación débiles pueden transformar una sola violación de seguridad en múltiples problemas. Trust Wallet ahora debe dedicar recursos significativos a filtrar reclamos falsos mientras las víctimas genuinas esperan compensación.

La extensión de Chrome de Trust Wallet tiene aproximadamente un millón de usuarios según su listado oficial, aunque la exposición práctica depende de cuántas personas instalaron la versión 2.68 e ingresaron datos sensibles durante la ventana vulnerable.

El Camino a Seguir

Trust Wallet ha tomado varios pasos para prevenir futuros incidentes. La compañía caducó todas las API de lanzamiento para bloquear actualizaciones de versiones no autorizadas durante las próximas dos semanas. El dominio malicioso utilizado para recopilar datos robados fue reportado a su registrador y suspendido rápidamente.

Sin embargo, quedan preguntas sobre cómo los atacantes obtuvieron la Clave API de Chrome Web Store y si se implementarán medidas de seguridad adicionales. La investigación forense en curso puede proporcionar respuestas, pero Trust Wallet no ha anunciado cambios específicos en su proceso de lanzamiento.

Para los usuarios de criptomonedas, el incidente refuerza la importancia de tratar las actualizaciones de billetera con extrema precaución. Los expertos en seguridad recomiendan esperar la confirmación de la comunidad antes de instalar actualizaciones y considerar billeteras de hardware para tenencias significativas.

El proceso de compensación continúa mientras Trust Wallet trabaja en miles de reclamos. La capacidad de la compañía para identificar con precisión a las víctimas legítimas mientras bloquea envíos fraudulentos probablemente influirá en cómo otros proveedores de billeteras manejan futuros incidentes de seguridad.

Verificación de la Realidad

La violación de Trust Wallet expone dos vulnerabilidades críticas en la seguridad de criptomonedas: los ataques a la cadena de suministro pueden eludir incluso sistemas de seguridad bien diseñados, y los procesos de compensación en sí mismos se convierten en objetivos de fraude. Mientras Trust Wallet navega la verificación de casi 5,000 reclamos para 2,596 víctimas reales, el incidente sirve como un recordatorio costoso de que en la seguridad cripto, la limpieza puede ser tan desafiante como la violación misma.