Script oculto flagrado coletando chaves privadas enquanto Trust Wallet emite alerta de emergência para usuários do Chrome

Trust Wallet orientou os usuários a desativarem a versão 2.68 da extensão para o navegador Chrome após a empresa reconhecer um incidente de segurança e lançar a versão 2.69 em 25 de dezembro, seguindo relatos de esvaziamento de carteiras relacionados à atualização de 24 de dezembro.

De acordo com vítimas e pesquisadores, os roubos começaram a ser sinalizados logo após o lançamento da 2.68. As primeiras estimativas públicas apontaram perdas na faixa de US$ 6 milhões a mais de US$ 7 milhões em várias redes.

A listagem da extensão Trust Wallet na Chrome Web Store mostra a versão 2.69 como “Atualizada: 25 de dezembro de 2025”, ancorando o momento do patch à data em que o incidente ganhou maior circulação.

A mesma listagem exibe cerca de 1.000.000 de usuários. Isso estabelece um teto de pior cenário para o alcance do problema.

A exposição prática depende de quantas pessoas instalaram a 2.68 e inseriram dados sensíveis enquanto ela estava ativa.

A orientação do Trust Wallet focou no lançamento da extensão para navegador. O veículo informou que usuários de dispositivos móveis e outras versões da extensão não foram afetados.

Até o momento, os relatos se concentraram em uma ação específica do usuário durante a janela da versão 2.68.

Pesquisadores alertam para riscos elevados ligados à atualização da extensão do Trust Wallet

Pesquisadores e monitoradores de incidentes associaram o maior risco a usuários que importaram ou inseriram uma frase-semente após instalar a versão afetada. Uma frase-semente pode desbloquear endereços atuais e futuros derivados dela.

O veículo também relatou que pesquisadores revisando o pacote 2.68 identificaram lógica suspeita em um arquivo JavaScript, incluindo referências a um arquivo rotulado como “4482.js”.

Eles disseram que a lógica poderia transmitir segredos da carteira para um host externo. Os pesquisadores também alertaram que indicadores técnicos ainda estavam sendo reunidos enquanto os investigadores publicavam suas descobertas.

A mesma cobertura alertou sobre golpes secundários, incluindo domínios “corretivos” falsos. Essas iscas tentam enganar usuários para que entreguem frases de recuperação sob o pretexto de remediação.

Para os usuários, faz diferença entre atualizar e remediar.

Atualizar para a versão 2.69 pode remover comportamentos maliciosos ou inseguros suspeitos da extensão a partir de então. Não protege automaticamente os ativos caso uma frase-semente ou chave privada já tenha sido exposta.

Nesse caso, os passos padrão de resposta a incidentes incluem mover fundos para novos endereços criados a partir de uma nova frase-semente. Os usuários também devem verificar e revogar aprovações de tokens quando possível.

Os usuários devem tratar qualquer sistema que tenha manipulado a frase como suspeito até que seja reconstruído ou verificado como limpo.

Essas ações podem ser operacionalmente custosas para usuários de varejo. Elas exigem restabelecer posições em diferentes redes e aplicações.

Em alguns casos, também forçam uma escolha entre rapidez e precisão quando custos de gas e riscos de bridge fazem parte do caminho de recuperação.

O episódio também destaca o modelo de confiança das extensões de navegador.

Extensões ocupam uma área sensível entre aplicativos web e fluxos de assinatura

Qualquer comprometimento pode atingir os mesmos dados de entrada que os usuários utilizam para verificar uma transação.

Pesquisas acadêmicas sobre detecção de extensões na Chrome Web Store descreveram como extensões maliciosas ou comprometidas podem escapar de revisões automatizadas. Também descreveram como a detecção pode se degradar à medida que as táticas dos atacantes evoluem ao longo do tempo.

De acordo com um artigo do arXiv sobre detecção supervisionada de extensões maliciosas por machine learning, “drift de conceito” e comportamentos em evolução podem corroer a efetividade de abordagens estáticas. Esse ponto se torna mais concreto quando uma atualização de extensão de carteira é suspeita de capturar segredos por meio de lógica ofuscada no lado do cliente.

As próximas divulgações do Trust Wallet definirão os limites de como a história será resolvida.

Uma análise pós-incidente do fornecedor que documente a causa raiz, publique indicadores verificados (domínios, hashes, identificadores de pacotes) e esclareça o escopo ajudaria provedores de carteiras, exchanges e equipes de segurança a desenvolver verificações direcionadas e instruções aos usuários.

Na ausência disso, os totais de incidentes tendem a permanecer instáveis. Relatos de vítimas podem chegar tardiamente, agrupamentos on-chain podem ser refinados e os investigadores ainda podem estar determinando se diferentes agentes de esvaziamento compartilham infraestrutura ou são imitadores oportunistas.

Os mercados de tokens refletiram a notícia com movimentação, mas sem precificação em uma única direção.

Os últimos valores cotados para Trust Wallet Token (TWT) mostraram um último preço de US$ 0,83487, alta de US$ 0,01 (0,02%) em relação ao fechamento anterior. Os dados mostraram uma máxima intradiária de US$ 0,8483 e uma mínima intradiária de US$ 0,767355.

A contabilização das perdas permanece em fluxo. O melhor marco público atual é a faixa de US$ 6 milhões a mais de US$ 7 milhões relatada nas primeiras 48 a 72 horas após a circulação da 2.68.

Essa faixa ainda pode mudar por motivos rotineiros em investigações de roubo

Incluem-se aí o relato tardio de vítimas, reclassificação de endereços e melhor visibilidade sobre swaps cross-chain e rotas de saque.

Uma faixa prática projetada para as próximas duas a oito semanas pode ser enquadrada como cenários ligados a variáveis de oscilação mensuráveis. Incluem-se se o caminho de comprometimento foi restrito à entrada de frase-semente na 2.68, se caminhos de captura adicionais são confirmados e com que rapidez as iscas de “correção” imitadoras são removidas.

O incidente ocorre em meio a um escrutínio mais amplo sobre como softwares de criptomoeda voltados ao varejo lidam com segredos em dispositivos de uso geral.

Os relatos de roubo em 2025 têm sido grandes o suficiente para atrair atenção de políticas e plataformas.

Incidentes ligados à distribuição de software também reforçam pedidos por controles de integridade de build, incluindo builds reproduzíveis, assinatura de chave dividida e opções mais claras de rollback quando uma correção urgente é necessária.

Para extensões de carteira, o resultado prático de curto prazo é mais simples. Os usuários devem decidir se já inseriram uma frase-semente enquanto a 2.68 estava instalada, pois essa única ação determina se atualizar é suficiente ou se precisam trocar segredos e mover fundos.

A orientação do Trust Wallet permanece em desativar a extensão 2.68 e atualizar para a 2.69 a partir da Chrome Web Store.

Usuários que importaram ou inseriram uma frase-semente enquanto utilizavam a 2.68 devem considerar essa frase como comprometida e migrar os ativos para uma nova carteira.

O Trust Wallet agora confirmou que aproximadamente US$ 7 milhões foram afetados no incidente da extensão Chrome v2.68 e que reembolsará todos os usuários afetados.

Em um comunicado publicado no X, a empresa afirmou que está finalizando o processo de reembolso e compartilhará instruções sobre os próximos passos “em breve”. O Trust Wallet também pediu aos usuários que não interajam com mensagens que não venham de seus canais oficiais, alertando que golpistas podem tentar se passar pela equipe durante o esforço de remediação.

A postagem Hidden script caught harvesting private keys as Trust Wallet issues emergency warning for Chrome users foi publicada primeiro em CryptoSlate.