Trust Wallet compromete-se a cobrir 7 milhões de dólares perdidos no hack do dia de Natal, diz CZ

• O hack à Trust Wallet drenou 7 milhões de dólares através de uma falha numa extensão de navegador, com os atacantes a planear a violação com semanas de antecedência.
• A Binance confirmou reembolsos para todas as vítimas enquanto especialistas sinalizaram possível acesso interno por trás da exploração.
• O hack expôs falhas nas revisões de atualizações, com fundos roubados e dados de utilizadores a afetar centenas de carteiras.

Um hack à Trust Wallet expôs falhas de segurança graves depois de atacantes terem roubado discretamente quase 7 milhões de dólares de utilizadores durante o feriado de Natal. A violação visou utilizadores de desktop através de uma extensão de navegador comprometida e passou despercebida durante dias. Os investigadores revelaram posteriormente que a operação foi planeada com semanas de antecedência, tornando-a num ataque calculado em vez de um golpe oportunista.

A Trust Wallet afirmou que o ataque foi limitado à versão 2.68 da extensão de navegador e não às suas aplicações móveis. A empresa recomendou que os utilizadores atualizassem a aplicação para a versão 2.89, que contém correções de segurança destinadas a prevenir que a exploração funcione. A Trust Wallet, propriedade da Binance, é uma das maiores carteiras de criptomoedas, com mais de 220 milhões de utilizadores em todo o mundo.

Zhao confirma reembolsos aos utilizadores após hack à Trust Wallet

O cofundador da Binance, Changpeng Zhao, dirigiu-se ao público sobre o hack após relatos de violação. A Trust Wallet irá reembolsar todos os utilizadores afetados e assumir o prejuízo pelas perdas, disse ele. Zhao admitiu que o hack foi uma violação muito grave e que reconstruir a confiança dos utilizadores era crucial numa altura em que a segurança das criptomoedas está cada vez mais sob escrutínio.

Uma análise adicional revelou que o hack à Trust Wallet estava ativamente em curso desde o início de dezembro. Yu Xian, cofundador da empresa de segurança blockchain SlowMist, revelou que a exploração não foi executada até 8 de dezembro. Em 22 de dezembro, conseguiram injetar uma backdoor prejudicial na extensão. O dinheiro foi então movido no dia de Natal, com a violação eventualmente descoberta nessa altura.

Fonte: COS

O código malicioso não apenas drenou ativos digitais. Os investigadores descobriram que o código do ataque malicioso também recolheu informações pessoais de utilizadores, que foram publicadas em servidores controlados pelo atacante. Segundo ZachXBT, um investigador de blockchain, o ataque afetou centenas de utilizadores, o que sugere que não afetou um pequeno número de vítimas.

Leia também: Hack à Upbit: 1,77 milhões de dólares em ativos roubados congelados enquanto investigação se expande

A indústria tem sérias preocupações sobre a execução da exploração. O atacante conseguiu passar uma versão modificada da extensão através de plataformas oficiais de distribuição. Isto fez com que alguns profissionais duvidassem da possibilidade de acesso interno ser um fator. 

Especialistas sinalizam possível papel interno na violação da Trust Wallet

Anndy Lian, que serve como consultor intergovernamental de blockchain, descreveu o evento como muito peculiar e acreditou haver uma grande probabilidade de envolvimento interno. Zhao subsequentemente afirmou que o hack foi muito provavelmente feito com informação interna.

Slowmist Xian observou que o atacante também mostrou um profundo conhecimento do código-fonte da Trust Wallet. Essa familiaridade também serviu para fornecer legitimidade à backdoor, evitando assim uma deteção precoce. Especialistas em segurança dizem que o problema reflete vulnerabilidades nos processos de revisão interna e sistemas que aprovam atualizações.

O hack à Trust Wallet é um de vários roubos de carteiras de criptomoedas em 2025. Hacks a carteiras pessoais representaram cerca de 37% do valor perdido em criptomoedas roubadas este ano, não incluindo o hack de 1,4 mil milhões de dólares à Bybit em fevereiro, segundo a Chainalysis. Embora as perdas da Trust Wallet não tenham sido tão grandes como em alguns ataques anteriores, apontam novamente para riscos contínuos.

Fonte: Chainalysis

Líderes da indústria alertam que a violação serve como mais um lembrete para monitorizar continuamente a segurança das criptomoedas. Star Xu, o fundador da OKX, disse que estes tipos de incidentes demonstram que o trabalho de segurança nunca está concluído e que mesmo plataformas confiáveis podem ser vulneráveis se as precauções adequadas não forem tomadas.

Leia também: Alerta de segurança cripto: CZ da Binance visa envenenamento de endereços após perda de 50 milhões de dólares