El hackeo de la billetera Trust empujó a la plataforma a iniciar un proceso de compensación después de que detectó código malicioso en su extensión del navegador Chrome. La compañía dijo que la infracción se limitó a una versión, pero causó pérdidas verificadas para un pequeño grupo de usuarios.
Trust Wallet confirmó que el problema se originó en la versión 2.68 de la extensión de Chrome. La actualización se publicó el 24 de diciembre. Los usuarios que instalaron esa versión enfrentaron acceso no autorizado a su billetera poco después.
Revisión de reclamaciones de Trust Wallet Hack Triggers
Después del hackeo de la billetera Trust, los usuarios víctimas ahora pueden enviar reclamos al portal de soporte oficial. También necesita una dirección de billetera, una dirección de recepción del atacante, un hash de transacción y un país. La plataforma dijo que requiere esta información para verificar cada reclamo.
La compañía dijo que revisará las reclamaciones caso por caso. Todas las presentaciones serán revisadas manualmente. Trust Wallet dijo que la precisión y la seguridad siguen siendo la prioridad durante el reembolso.
Trust Wallet informó del robo de unos 7 millones de dólares en activos digitales. Las pérdidas afectaron a las carteras BTC, ETH, BNB y SOL. La firma de seguridad Blockchain PeckShield dijo que más de 4 millones de dólares de los fondos robados ya se habían movido a través de intercambios centralizados.
Las plataformas incluían ChangeNOW, FixedFloat y KuCoin. En el momento de redactar este informe, aproximadamente 2,8 millones de dólares permanecían en carteras controladas por el atacante.
Changpeng Zhao, fundador de Binance, confirmó que todas las pérdidas verificadas estarán cubiertas. Binance adquirió Trust Wallet en 2018. Zhao dijo que los fondos de los usuarios permanecen protegidos a pesar de la infracción.
El incidente se hizo público después de que el investigador de la cadena ZachXBT emitiera alertas el día de Navidad. Los usuarios informaron saldos agotados poco después de instalar la actualización. Trust Wallet lanzó la versión 2.69 el 25 de diciembre para eliminar el código malicioso.
Infracción vinculada a una clave API de Chrome filtrada
El director ejecutivo de Trust Wallet, Eowyn Chen, dijo que los usuarios que iniciaron sesión antes del 26 de diciembre a las 11 a.m. UTC enfrentaron la mayor exposición a la violación criptográfica. Los usuarios posteriores que accedieron a la extensión no se vieron afectados.
en un X publicaciónChen dijo que los hallazgos internos mostraron que se utilizó una clave API de Chrome Web Store filtrada para publicar la extensión comprometida. Esto pasó por alto los controles de publicación normales de Trust Wallet. La firma de seguridad SlowMist dijo que el código inyectado recopiló frases de recuperación de billetera a través de una biblioteca de análisis modificada.
Sin embargo, Trust Wallet también recibió una confirmación de su parte de que el problema afectaba sólo a su extensión de Chrome. Según la empresa, el problema no afectó a los usuarios de la aplicación móvil. El hackeo de la billetera Trust ha renovado el escrutinio de las prácticas de distribución de software y seguridad de las billeteras basadas en navegador.