Explicação do Hack do TrustWallet: Desde a Atualização até aos Roubo de Carteiras no valor de $16M em $TWT, BTC, ETH

O que aconteceu exatamente no incidente da Trust Wallet

Passo 1: Foi lançada uma nova atualização da extensão do navegador

Uma nova atualização para a extensão do navegador Trust Wallet foi lançada em 24 de dezembro.

• A atualização parecia rotineira.

• Nenhum aviso de segurança importante foi emitido junto com ela.

• Os utilizadores a instalaram através do processo habitual de atualização.

Neste momento, nada parecia suspeito.

Passo 2: Novo código foi adicionado à extensão

Após a atualização, investigadores que analisaram os ficheiros da extensão notaram alterações num ficheiro JavaScript conhecido como 4482.js.

Observação chave:

• O novo código não estava nas versões anteriores.

• Introduziu pedidos de rede ligados a ações do utilizador.

Isto é importante porque carteiras no navegador são ambientes muito sensíveis; qualquer lógica de saída nova apresenta um risco elevado.

Passo 3: Código disfarçado de “Analytics”

A lógica adicionada parecia ser código de análise ou telemetria.

Especificamente:

• Parecia lógica de rastreamento usada por SDKs de análise comuns.

• Não ativava o tempo todo.

• Só ativava sob certas condições.

Este design dificultava a deteção durante testes casuais.

Passo 4: Condição de disparo — Importação de uma frase-semente

A engenharia reversa da comunidade sugere que a lógica foi ativada quando um utilizador importou uma frase-semente na extensão.

Por que isto é crítico:

• Importar uma frase-semente dá controlo total à carteira.

• Este é um momento único de alto valor.

• Qualquer código malicioso só precisa atuar uma vez.

Utilizadores que apenas usaram carteiras existentes podem não ter ativado este caminho.

Passo 5: Dados da carteira foram enviados externamente

Quando a condição de disparo ocorreu, o código alegadamente enviou dados para um endpoint externo:

metrics-trustwallet[.]com

O que levantou alarmes:

• O domínio parecia muito semelhante a um subdomínio legítimo da Trust Wallet.

• Foi registado apenas dias antes.

• Não estava documentado publicamente.

• Depois ficou offline.

Pelo menos, isto confirma comunicação inesperada de saída a partir da extensão da carteira.

Passo 6: Atacantes agiram imediatamente

Logo após as importações da frase-semente, utilizadores relataram:

• Carteiras esvaziadas em minutos.

• Múltiplos ativos movidos rapidamente.

• Nenhuma interação adicional do utilizador foi necessária.

Comportamento na blockchain mostrou:

• Padrões de transação automatizados.

• Múltiplos endereços de destino.

• Sem fluxo óbvio de aprovação de phishing.

Isto sugere que os atacantes já tinham acesso suficiente para assinar transações.

Passo 7: Fundos foram consolidados através de vários endereços

Ativos roubados foram encaminhados através de várias carteiras controladas pelos atacantes.

Por que isto importa:

• Sugere coordenação ou scripting.

• Reduz a dependência de um único endereço.

• Corresponde a comportamentos observados em explorações organizadas.

Estimativas baseadas nos endereços rastreados sugerem que milhões de dólares foram movimentados, embora os totais variem.

Passo 8: O domínio ficou offline

Após o aumento da atenção:

• O domínio suspeito deixou de responder.

• Nenhuma explicação pública foi dada imediatamente.

• Capturas de tela e evidências em cache tornaram-se cruciais.

Isto é consistente com atacantes destruindo infraestrutura assim que são expostos.

Passo 9: Reconhecimento oficial veio mais tarde

A Trust Wallet confirmou posteriormente:

• Um incidente de segurança afetou uma versão específica da extensão do navegador.

• Utilizadores móveis não foram afetados.

• Os utilizadores devem atualizar ou desativar a extensão.

No entanto, nenhuma análise técnica completa foi fornecida de imediato para explicar:

• Por que o domínio existia.

• Se frases-semente foram expostas.

• Se este foi um problema interno, de terceiros ou externo.

Esta lacuna alimentou especulações contínuas.

O que é confirmado

• Uma atualização da extensão do navegador introduziu novo comportamento de saída.

• Os utilizadores perderam fundos logo após importar frases-semente.

• O incidente foi limitado a uma versão específica.

• A Trust Wallet reconheceu um problema de segurança.

O que é fortemente suspeito

• Uma questão na cadeia de fornecimento ou injeção de código malicioso.

• Frases-semente ou capacidade de assinatura sendo expostas.

• A lógica de análise sendo mal utilizada ou weaponizada.

O que ainda é desconhecido

• Se o código foi intencionalmente malicioso ou comprometido a montante.

• Quantos utilizadores foram afetados.

• Se outros dados foram roubados.

• A atribuição exata dos atacantes.

Porque este incidente importa

Isto não foi um phishing típico.

Destaque para:

• O perigo das extensões de navegador.

• O risco de confiar cegamente em atualizações.

• Como o código de análise pode ser mal utilizado.

• Porque lidar com frases-semente é o momento mais crítico na segurança da carteira.

Mesmo uma vulnerabilidade de curta duração pode ter consequências graves.