Trust Wallet reveló detalles del hackeo por 8,5 millones de dólares - ForkLog: criptomonedas, IA, singularidad, futuro

# Trust Wallet revela detalles del hack de $8,5 millones

El equipo de Trust Wallet publicó un informe sobre el incidente ocurrido el 26 de diciembre. Los ciberdelincuentes comprometieron la extensión del navegador y retiraron activos por un valor de $8,5 millones.

Según la declaración, el ataque afectó a 2520 direcciones. Los desarrolladores se comprometieron a compensar completamente las pérdidas a los afectados.

Cómo ocurrió

La causa del hack fue un ataque a gran escala en la cadena de suministro Sha1-Hulud, registrado en noviembre. En ese momento, los hackers obtuvieron acceso a los secretos de los desarrolladores en GitHub y a la clave API de la tienda Chrome Web Store.

Utilizando los datos robados, los ciberdelincuentes:

1. Cargaron una versión maliciosa de la extensión (2.68) en Chrome Web Store, evitando el control interno de Trust Wallet.
2. Registraron el dominio metrics-trustwallet.com para recopilar datos confidenciales (frases-seguridad y claves privadas).
3. Distribuyeron automáticamente la actualización entre los usuarios tras pasar la revisión de Google.

La versión maliciosa estuvo activa del 24 al 26 de diciembre. Tras detectar el problema, el equipo revertió la extensión a la versión segura 2.69 y revocó las claves comprometidas.

Quiénes fueron afectados

La vulnerabilidad afectó únicamente a los usuarios de la extensión de escritorio en su versión 2.68, que accedieron a la cartera en las fechas indicadas. La aplicación móvil de Trust Wallet y otras versiones de la extensión permanecieron seguras.

Los analistas identificaron 17 direcciones controladas por el hacker. El daño total ascendió a $8,5 millones.

«Consideramos este incidente no solo como una lección crítica para nosotros, sino también como un punto de inflexión para toda la industria en cuestiones de ataques a cadenas de suministro», señalaron en Trust Wallet.

Proceso de recuperación de fondos

La compañía ya comenzó a trabajar con las víctimas del hack. Para recibir la compensación, los usuarios deben presentar una solicitud a través del formulario de soporte oficial y verificar la propiedad de la cartera.

Trust Wallet destacó la dificultad del proceso debido al aumento de estafadores. Sobre las 2520 direcciones afectadas, ya se han recibido más de 5000 solicitudes. El equipo pidió a los usuarios que tengan paciencia y tengan cuidado con el phishing: el soporte oficial nunca solicita frases de recuperación.

Para prevenir situaciones similares en el futuro, el proyecto reforzó las medidas de seguridad, incluyendo auditorías del código y rotación de credenciales.

Recordemos que en 2025, el volumen de fondos robados mediante ataques de phishing se redujo en un 83%, alcanzando los $83,85 millones, según SlowMist.