Se detectó un script oculto que robaba claves privadas mientras Trust Wallet emite una advertencia de emergencia para los usuarios de Chrome

Trust Wallet les indicó a los usuarios que desactiven la extensión de Chrome versión 2.68 después de que la empresa reconociera un incidente de seguridad y lanzara la versión 2.69 el 25 de diciembre, tras informes de drenajes de billeteras vinculados a la actualización del 24 de diciembre.

Según víctimas e investigadores, los robos comenzaron a ser detectados poco después del lanzamiento de la 2.68. Los primeros recuentos públicos situaron las pérdidas en un rango de entre 6 y 7 millones de dólares, e incluso más, a través de múltiples cadenas.

El listado en Chrome Web Store muestra que la extensión Trust Wallet versión 2.69 fue “Actualizada: 25 de diciembre de 2025”, estableciendo el momento en que el proveedor lanzó el parche el mismo día en que el incidente se difundió ampliamente.

Ese mismo listado indica alrededor de 1.000.000 de usuarios. Eso marca el alcance máximo en el peor de los casos.

La exposición práctica depende de cuántas personas instalaron la versión 2.68 e ingresaron datos sensibles mientras estuvo activa.

La recomendación de Trust Wallet se enfocó en la versión de extensión para navegador. El medio indicó que los usuarios móviles y otras versiones de la extensión no se vieron afectados.

Hasta ahora, los informes se han centrado en una acción específica del usuario durante la ventana de la 2.68.

Investigadores advierten sobre riesgos elevados vinculados a la actualización de la extensión de navegador de Trust Wallet

Investigadores y rastreadores de incidentes vincularon el mayor riesgo a los usuarios que importaron o ingresaron una frase semilla después de instalar la versión afectada. Una frase semilla puede desbloquear direcciones actuales y futuras derivadas de la misma.

El medio también informó que los investigadores, al revisar el paquete 2.68, detectaron lógica sospechosa en un archivo JavaScript, incluyendo referencias a un archivo etiquetado como “4482.js”.

Señalaron que dicha lógica podría transmitir secretos de la billetera a un host externo. Los investigadores también advirtieron que los indicadores técnicos aún se estaban recopilando mientras los investigadores publicaban sus hallazgos.

La misma cobertura advirtió sobre estafas secundarias, incluyendo dominios “fix” imitadores. Estas trampas buscan engañar a los usuarios para que entreguen sus frases de recuperación bajo la apariencia de una solución.

Para los usuarios, la diferencia entre actualizar y remediar es importante.

Actualizar a la versión 2.69 puede eliminar comportamientos maliciosos o inseguros sospechosos de la extensión en adelante. No protege automáticamente los activos si ya se expuso una frase semilla o clave privada.

En ese caso, los pasos estándar de respuesta ante incidentes incluyen mover los fondos a nuevas direcciones creadas a partir de una nueva frase semilla. Los usuarios también deberían revisar y revocar aprobaciones de tokens donde sea posible.

Debe considerarse sospechoso cualquier sistema que haya manejado la frase, hasta que sea reconstruido o verificado como seguro.

Estas acciones pueden resultar costosas en la práctica para los usuarios minoristas. Requieren restablecer posiciones a través de cadenas y aplicaciones.

En algunos casos, también obligan a elegir entre rapidez y precisión cuando los costos de gas y los riesgos de puenteo forman parte del proceso de recuperación.

El episodio también pone el foco en el modelo de confianza de las extensiones de navegador.

Las extensiones se ubican en una zona sensible entre aplicaciones web y flujos de firma

Cualquier compromiso puede atacar las mismas entradas que los usuarios utilizan para verificar una transacción.

Investigaciones académicas sobre la detección de extensiones en Chrome Web Store han descrito cómo extensiones maliciosas o comprometidas pueden evadir la revisión automatizada. También han señalado cómo la detección puede degradarse a medida que evolucionan las tácticas de los atacantes con el tiempo.

Según un artículo en arXiv sobre detección supervisada de extensiones maliciosas mediante machine learning, la “deriva de concepto” y los comportamientos cambiantes pueden erosionar la efectividad de los enfoques estáticos. Esto se vuelve más concreto cuando se sospecha que una actualización de billetera recolecta secretos a través de lógica ofuscada del lado del cliente.

Las próximas declaraciones de Trust Wallet establecerán los límites para cómo se resuelve la historia.

Un informe post-mortem del proveedor que documente la causa raíz, publique indicadores verificados (dominios, hashes, identificadores de paquetes) y aclare el alcance ayudaría a proveedores de billeteras, exchanges y equipos de seguridad a desarrollar controles y directivas de usuario específicas.

En ausencia de ello, los totales de incidentes tienden a permanecer inestables. Los informes de víctimas pueden llegar tarde, el agrupamiento on-chain puede refinarse y los investigadores aún pueden estar determinando si distintos drenadores comparten infraestructura o son imitadores oportunistas.

Los mercados de tokens reflejaron la noticia con movimiento, pero sin una revalorización en una sola dirección.

Las últimas cifras cotizadas para Trust Wallet Token (TWT) mostraron un último precio de $0,83487, un alza de $0,01 (0,02%) respecto al cierre anterior. Los datos mostraron un máximo intradía de $0,8483 y un mínimo intradía de $0,767355.

El recuento de pérdidas sigue siendo variable. El mejor anclaje público actual es el rango de 6 a más de 7 millones de dólares reportado en las primeras 48 a 72 horas tras la circulación de la 2.68.

Ese rango aún puede cambiar por razones habituales en investigaciones de robos

Entre ellas se incluyen reportes tardíos de víctimas, reclasificación de direcciones y una mejor visibilidad sobre swaps cross-chain y rutas de retiro.

Un rango práctico a futuro para las próximas dos a ocho semanas puede enmarcarse en escenarios ligados a variables medibles. Entre ellas, si el vector de compromiso se limitó al ingreso de la semilla en la 2.68, si se confirman rutas adicionales de captura y qué tan rápido se eliminan los dominios “fix” imitadores.

El incidente ocurre en medio de un mayor escrutinio sobre cómo el software cripto orientado al retail maneja secretos en dispositivos de uso general.

Los informes de robos en 2025 han sido lo suficientemente grandes como para captar la atención de políticas y plataformas.

Los incidentes vinculados a la distribución de software también refuerzan los llamados a controles de integridad en las construcciones, incluyendo builds reproducibles, firmas de clave dividida y opciones más claras de reversión cuando se necesita un hotfix.

Para las extensiones de billetera, el resultado práctico a corto plazo es más simple. Los usuarios deben decidir si alguna vez ingresaron una frase semilla mientras estuvo instalada la 2.68, ya que esa única acción determina si solo basta con actualizar o si deben rotar secretos y mover fondos.

La recomendación de Trust Wallet sigue siendo desactivar la extensión 2.68 y actualizar a la 2.69 desde Chrome Web Store.

Los usuarios que importaron o ingresaron una frase semilla mientras ejecutaban la 2.68 deben considerar esa semilla como comprometida y migrar sus activos a una nueva billetera.

Trust Wallet ha confirmado ahora que aproximadamente 7 millones de dólares se vieron afectados en el incidente de la extensión Chrome v2.68 y que reembolsará a todos los usuarios afectados.

En un comunicado publicado en X, la empresa dijo que está finalizando el proceso de reembolso y que pronto compartirá instrucciones sobre los próximos pasos. Trust Wallet también instó a los usuarios a no interactuar con mensajes que no provengan de sus canales oficiales, advirtiendo que estafadores pueden intentar hacerse pasar por el equipo durante el proceso de remediación.

La publicación Hidden script caught harvesting private keys as Trust Wallet issues emergency warning for Chrome users apareció primero en CryptoSlate.