Trust Wallet Natal Roubo! ZachXBT alerta que após a atualização do Chrome, todos foram roubados

12 de dezembro, no dia do Natal, vários utilizadores do Trust Wallet acordaram para descobrir que os fundos das suas carteiras tinham sido transferidos sem autorização, com o montante do prejuízo desconhecido. Investigadores de blockchain, ZachXBT, emitiram um alerta de emergência no grupo Telegram, indicando que estes roubos ocorreram após a atualização do Trust Wallet Chrome Extension em 24 de dezembro, um momento altamente suspeito.

Linha do tempo do ataque de Natal: uma tempestade perfeita em 24 horas

A linha do tempo do incidente mostra um planeamento meticuloso por parte dos atacantes. Na véspera de Natal, 24 de dezembro, o Trust Wallet enviou uma atualização da extensão para a Chrome Web Store, com a maioria dos utilizadores atualizando automaticamente ou manualmente durante o clima festivo. Na manhã de 25 de dezembro, dia de Natal, aproximadamente entre a meia-noite e o período da manhã, os primeiros vítimas descobriram transferências anormais de fundos. ZachXBT, após receber múltiplos relatos, emitiu um alerta público no Telegram ao meio-dia, pedindo aos utilizadores do Trust Wallet que verificassem imediatamente as suas carteiras.

A escolha do momento festivo não foi casual. Durante o Natal, a equipa de desenvolvimento reduziu o pessoal, o suporte ao cliente respondeu com atraso e a vigilância dos utilizadores diminuiu, criando uma janela de oportunidade para os atacantes. Estratégias semelhantes ocorreram na ataque ao Slope Wallet em 2022, quando os atacantes aproveitaram o fim de semana para roubar fundos de mais de 8.000 carteiras Solana. O silêncio do Trust Wallet agravou ainda mais o pânico, com utilizadores a reclamarem nas redes sociais por não conseguirem contactar o suporte oficial para obter respostas claras.

ZachXBT destacou no alerta que “a causa exata ainda não foi determinada”, mas apontou a atualização da extensão Chrome como possível origem. Este detalhe é crucial, pois direciona a investigação de uma falha sistémica em vez de erro do utilizador. Se for confirmado que o problema reside na própria extensão, o Trust Wallet enfrentará riscos legais e de reputação consideráveis. Atualmente, ZachXBT está a recolher endereços de carteiras afetadas, tentando rastrear o fluxo de fundos roubados e identificar o padrão do ataque.

Extensão Chrome: o cavalo de Troia das carteiras de criptomoedas

A elevada permissão das extensões de navegador torna-as alvos ideais para atacantes. As extensões Chrome podem ler e modificar todo o conteúdo das páginas visitadas, interceptar pedidos de rede, injetar scripts arbitrários e aceder ao armazenamento local. Para as extensões de carteiras de criptomoedas, estas permissões significam que podem: capturar as palavras-chave e chaves privadas inseridas pelos utilizadores, modificar os endereços e valores das transações, interceptar pedidos de assinatura e substituir dados de transação, além de aceder às sessões criptografadas armazenadas no navegador.

Especialistas em segurança alertaram várias vezes que uma atualização maliciosa ou uma dependência comprometida podem colocar milhões de utilizadores em risco. Em novembro de 2023, uma biblioteca popular chamada “Ledger Connect Kit” foi invadida por atacantes, afetando múltiplas interfaces DeFi e causando perdas superiores a 480.000 dólares. Este ataque demonstrou o poder de uma cadeia de abastecimento comprometida: os atacantes não precisam invadir diretamente a aplicação da carteira, apenas controlar uma dependência upstream.

Três riscos sistémicos principais das carteiras de navegador

Mecanismo de atualização automática: as extensões atualizam-se por padrão sem revisão do código, obrigando os utilizadores a aceitar novas versões

Abuso de permissões: extensões legítimas podem incluir código malicioso na atualização, usando permissões amplas concedidas para roubar ativos

Vulnerabilidade na cadeia de dependências: se uma biblioteca de terceiros na qual a carteira depende for comprometida, todas as aplicações downstream ficam afetadas sem o conhecimento do utilizador

Nos últimos meses, várias ameaças semelhantes surgiram. Relatórios de empresas de segurança indicam que algumas extensões falsas de carteiras foram criadas especificamente para roubar palavras-chave, permitindo aos atacantes reconstruir completamente a carteira e posteriormente roubar fundos. Ataques mais discretos vêm de extensões maliciosas de “assistentes” de transações, que silenciosamente modificam comandos de transação, roubando pequenas quantidades de criptomoedas cada vez que o utilizador aprova uma troca, muitas vezes sem perceber devido ao valor insignificante.

Guia de resposta e recuperação de ativos para vítimas

Para utilizadores do Trust Wallet que suspeitem de terem sido afetados, o tempo é crucial. A prioridade é verificar imediatamente os registros de transações das últimas 48 horas, prestando atenção a qualquer transferência não autorizada de tokens, interações com contratos ou assinaturas de autorização. Se encontrar transações suspeitas, deve tomar as seguintes ações: desativar a extensão Chrome do Trust Wallet, acessando chrome://extensions para desativar ou remover; revogar todas as permissões de DeFi usando Revoke.cash ou a funcionalidade de Aprovações de Token no Etherscan; criar uma nova carteira usando uma nova frase de recuperação, em vez de restaurar a antiga; transferir os fundos restantes para a nova carteira, garantindo que o dispositivo utilizado não esteja sob monitoramento.

ZachXBT recomenda que as vítimas contactem as autoridades e forneçam detalhes das transações. Embora as investigações de roubos de criptomoedas tenham baixa taxa de resolução, manter um registo formal é fundamental para possíveis ações coletivas ou pedidos de seguro no futuro. Além disso, os utilizadores devem reportar o incidente no grupo Telegram de ZachXBT ou em fóruns relacionados, fornecendo detalhes como o valor roubado e os endereços das carteiras, ajudando os investigadores a construir um mapa completo do ataque.

Para utilizadores do Trust Wallet que ainda não foram afetados, as medidas preventivas incluem: suspender o uso da extensão Chrome, usar aplicações móveis ou carteiras de hardware; verificar e revogar permissões de contratos DeFi desnecessários; evitar assinar novas transações ou autorizações até que a situação esteja clara; fazer backups regulares da frase de recuperação e armazená-la offline; considerar transferir grandes quantidades de fundos para carteiras de hardware, como Ledger ou Trezor.

Resposta oficial do Trust Wallet ausente gera crise de confiança

Até ao momento, o Trust Wallet ainda não publicou uma declaração oficial confirmando se a atualização da extensão Chrome foi a causa direta, nem forneceu detalhes técnicos ou planos de compensação. Este silêncio gerou forte insatisfação na comunidade de criptomoedas. Utilizadores no X e Reddit reclamaram por não conseguirem contactar o suporte, e as contas oficiais ignoraram o incidente, continuando a publicar mensagens de boas festas, contrastando com a ansiedade dos afetados.

O Trust Wallet é uma carteira de criptomoedas pertencente à Binance, alegando ter dezenas de milhões de utilizadores. Se este incidente de segurança for confirmado, poderá causar um impacto devastador na sua posição de mercado. No passado, a carteira Slope sofreu uma perda de mais de 70% de utilizadores após um incidente de divulgação de chaves privadas em 2022, e ainda não recuperou. Se o Trust Wallet não agir de forma rápida e transparente, poderá enfrentar um destino semelhante.