Trust Wallet ¡Robo navideño! ZachXBT advierte que tras la actualización de Chrome todos fueron robados

12 de diciembre, en el día de Navidad, varios usuarios de Trust Wallet despertaron y descubrieron que los fondos de sus carteras habían sido transferidos sin autorización, sin que se conociera la cantidad perdida. El investigador de blockchain ZachXBT emitió una alerta urgente en el grupo de Telegram, señalando que estos incidentes ocurrieron después de la actualización del 24 de diciembre de la extensión de Chrome de Trust Wallet, un momento altamente sospechoso.

Cronología del ataque navideño: una tormenta perfecta en 24 horas

La línea de tiempo del evento muestra que los atacantes planearon cuidadosamente. La noche de Navidad, Trust Wallet envió una actualización de la extensión en Chrome Web Store, y la mayoría de los usuarios actualizaron automáticamente o manualmente en medio del ambiente festivo. La mañana de Navidad, en horario de la costa este de EE. UU., aproximadamente en la madrugada hasta la mañana, los primeros afectados detectaron transferencias anómalas de fondos. ZachXBT, tras recibir múltiples reportes, emitió una alerta pública en Telegram al mediodía local, instando a los usuarios de Trust Wallet a revisar sus carteras inmediatamente.

La elección del momento festivo no fue casual. Durante las fiestas, el personal de desarrollo reduce su presencia, la respuesta del servicio al cliente se ralentiza y la vigilancia de los usuarios disminuye, creando una ventana de oportunidad dorada para los atacantes. Estrategias similares se vieron en el ataque a la cartera Slope en 2022, cuando los atacantes aprovecharon el fin de semana para robar fondos de más de 8,000 carteras de Solana. El silencio de Trust Wallet en esta ocasión aumentó aún más el pánico, y los usuarios en redes sociales se quejaron de no poder contactar con el soporte oficial para obtener respuestas claras.

ZachXBT enfatizó en su alerta que «la causa raíz exacta aún no ha sido determinada», pero apuntó a la actualización de la extensión de Chrome como posible responsable. Este detalle es crucial, ya que cambia el enfoque de la investigación de errores del usuario a una vulnerabilidad sistémica. Si se confirma que el problema reside en la propia extensión, Trust Wallet enfrentará riesgos legales y de reputación considerables. Actualmente, ZachXBT recopila direcciones de las carteras afectadas, intentando rastrear el destino de los fondos robados y detectar patrones de ataque.

Extensión de Chrome: el troyano de las carteras criptográficas

La alta autoridad de las extensiones de navegador las convierte en objetivos ideales para los atacantes. Las extensiones de Chrome pueden leer y modificar todo el contenido de las páginas web que el usuario visita, interceptar solicitudes de red, inyectar scripts arbitrarios e incluso acceder al almacenamiento local. Para las extensiones de carteras criptográficas, estos permisos significan que pueden: capturar las frases mnemónicas y claves privadas ingresadas por el usuario, modificar las direcciones y cantidades de las transacciones, interceptar solicitudes de firma y reemplazar datos de transacción, además de acceder a sesiones cifradas almacenadas en el navegador.

Los investigadores de seguridad han advertido varias veces que una actualización maliciosa o una dependencia comprometida pueden poner en riesgo a millones de usuarios. En noviembre de 2023, una biblioteca popular llamada «Ledger Connect Kit» fue comprometida por atacantes, afectando varias interfaces de DeFi y causando pérdidas superiores a 480,000 dólares. Este ataque demuestra el poder de los ataques a la cadena de suministro: los atacantes no necesitan infiltrarse directamente en la aplicación de la cartera, sino controlar alguna dependencia upstream.

Tres riesgos sistémicos principales en las carteras de navegador

Mecanismo de actualización automática: las extensiones se actualizan automáticamente por defecto, y los usuarios no pueden revisar los cambios en el código antes de aceptar la nueva versión

Abuso de permisos: extensiones legítimas pueden agregar código malicioso en actualizaciones, aprovechando los permisos amplios otorgados para robar activos

Vulnerabilidades en la cadena de dependencias: si una biblioteca de terceros en la que confía la cartera es comprometida, afectará a todas las aplicaciones downstream sin que los usuarios lo sepan

En los últimos meses, se han reportado múltiples amenazas similares. Las empresas de seguridad han detectado que algunas extensiones falsas de carteras están diseñadas específicamente para robar frases mnemónicas, permitiendo a los atacantes reconstruir completamente la cartera y robar fondos posteriormente. Ataques más discretos provienen de extensiones maliciosas de «asistentes» de transacciones, que modifican silenciosamente las instrucciones de las transacciones, robando pequeñas cantidades de criptomonedas cada vez que el usuario aprueba un intercambio, y que por el monto reducido suelen pasar desapercibidos.

Guía para víctimas y recuperación de activos

Para los usuarios de Trust Wallet que sospechen que han sido afectados, el tiempo es crucial. La primera tarea es revisar inmediatamente los registros de transacciones de las últimas 48 horas, prestando especial atención a transferencias no autorizadas de tokens, interacciones con contratos o firmas de autorizaciones. Si detectan transacciones sospechosas, deben tomar las siguientes acciones: desactivar la extensión de Trust Wallet en Chrome, yendo a chrome://extensions y deshabilitando o eliminando; revocar todas las autorizaciones en DeFi usando Revoke.cash o la función de aprobaciones de tokens en Etherscan; crear una cartera completamente nueva usando una frase mnemónica generada recientemente en lugar de la antigua; transferir los fondos restantes a la nueva cartera, asegurándose de no usar dispositivos que puedan estar siendo monitoreados.

ZachXBT recomienda a las víctimas contactar con las autoridades y proporcionar registros detallados de las transacciones. Aunque la tasa de resolución de casos de robo en criptomonedas es baja, mantener un registro formal es fundamental para posibles demandas colectivas o reclamaciones de seguros en el futuro. Además, los usuarios deben reportar su situación en el grupo de Telegram de ZachXBT o en foros comunitarios relacionados, proporcionando detalles como la cantidad robada y las direcciones de las carteras, para ayudar a los investigadores a construir un mapa completo del ataque.

Para los usuarios de Trust Wallet que aún no han sido afectados, las medidas preventivas incluyen: dejar de usar la extensión de Chrome temporalmente, y optar por la aplicación móvil o una cartera hardware; revisar y revocar permisos innecesarios en contratos DeFi; evitar firmar nuevas transacciones o autorizaciones hasta que la situación esté clara; hacer copias de seguridad periódicas de la frase mnemónica y almacenarlas en un entorno offline; considerar transferir grandes cantidades a una cartera hardware como Ledger o Trezor.

Respuesta oficial de Trust Wallet genera crisis de confianza por su ausencia

Hasta el momento de la publicación, Trust Wallet no ha emitido un comunicado oficial confirmando si la actualización de la extensión de Chrome fue la causa directa, ni ha proporcionado detalles técnicos o planes de compensación. Este silencio ha generado un fuerte descontento en la comunidad cripto. Los usuarios en X y Reddit se quejan de no poder contactar con el soporte, y las cuentas oficiales parecen ignorar el incidente, incluso continuando con publicaciones de felicitaciones festivas, en marcado contraste con la ansiedad de las víctimas.

Trust Wallet, propiedad de Binance, afirma tener millones de usuarios. Si se confirma que este incidente de seguridad fue grave, podría causar un daño catastrófico a su posición en el mercado. En 2022, la brecha de claves privadas en la cartera Slope provocó una caída del 70 % en su base de usuarios, y aún no se ha recuperado. Si Trust Wallet no maneja esta crisis con transparencia y rapidez, podría enfrentar un destino similar.