Script oculto flagrado coletando chaves privadas enquanto Trust Wallet emite alerta de emergência para usuários do Chrome

Trust Wallet orientou os usuários a desabilitarem a extensão do navegador Chrome na versão 2.68 após a empresa reconhecer um incidente de segurança e lançar a versão 2.69 em 25 de dezembro, seguindo relatos de saques de carteiras ligados à atualização de 24 de dezembro.

De acordo com vítimas e pesquisadores, os roubos começaram a ser sinalizados logo após o lançamento da 2.68. Os primeiros levantamentos públicos estimaram as perdas em uma faixa de US$ 6 milhões a mais de US$ 7 milhões em múltiplas blockchains.

A página da extensão na Chrome Web Store mostra a versão 2.69 da extensão Trust Wallet como “Atualizada: 25 de dezembro de 2025”, vinculando o momento do patch do fornecedor ao dia em que o incidente ganhou maior circulação.

A mesma listagem exibe cerca de 1.000.000 de usuários. Isso delimita um teto de alcance no pior cenário.

A exposição prática depende de quantas pessoas instalaram a 2.68 e inseriram dados sensíveis enquanto ela estava ativa.

A orientação da Trust Wallet concentrou-se no lançamento da extensão para navegador. A plataforma informou que usuários de dispositivos móveis e outras versões da extensão não foram afetados.

Até agora, as reportagens focaram em uma ação de usuário específica durante o período da 2.68.

Pesquisadores alertam para riscos elevados ligados à atualização da extensão Trust Wallet

Pesquisadores e rastreadores de incidentes atribuíram o maior risco a usuários que importaram ou inseriram uma frase-semente após instalar a versão afetada. Uma frase-semente pode desbloquear endereços atuais e futuros derivados dela.

A plataforma também informou que pesquisadores que revisaram o pacote 2.68 sinalizaram uma lógica suspeita em um arquivo JavaScript, incluindo referências a um arquivo rotulado como “4482.js”.

Segundo eles, a lógica poderia transmitir segredos da carteira para um host externo. Os pesquisadores também alertaram que os indicadores técnicos ainda estavam sendo reunidos enquanto os investigadores publicavam suas descobertas.

A mesma cobertura alertou para golpes secundários, incluindo domínios “fix” imitadores. Essas iscas tentam enganar os usuários para que forneçam frases de recuperação sob o pretexto de remediação.

Para os usuários, a diferença entre atualizar e remediar é significativa.

Atualizar para a 2.69 pode remover comportamentos maliciosos ou inseguros suspeitos da extensão daqui para frente. Isso não protege automaticamente os ativos se a frase-semente ou chave privada já tiver sido exposta.

Nesse caso, as etapas padrão de resposta a incidentes incluem transferir fundos para novos endereços criados a partir de uma nova frase-semente. Os usuários também devem verificar e revogar aprovações de tokens onde for possível.

Os usuários devem tratar qualquer sistema que tenha manipulado a frase como suspeito até que seja reconstruído ou verificado como limpo.

Essas ações podem ser operacionalmente custosas para usuários comuns. Elas exigem restabelecer posições em diferentes blockchains e aplicações.

Em alguns casos, também forçam a escolha entre rapidez e precisão quando custos de gás e riscos de bridges fazem parte do caminho de recuperação.

O episódio também destaca o modelo de confiança das extensões de navegador.

Extensões estão em um ponto sensível entre aplicativos web e fluxos de assinatura

Qualquer comprometimento pode ter como alvo os mesmos dados que os usuários utilizam para verificar uma transação.

Pesquisas acadêmicas sobre detecção de extensões na Chrome Web Store descreveram como extensões maliciosas ou comprometidas podem escapar da revisão automatizada. Também mostraram como a detecção pode se degradar à medida que as táticas dos atacantes evoluem com o tempo.

Segundo um artigo no arXiv sobre detecção supervisionada por machine learning de extensões maliciosas, “desvio de conceito” e comportamentos em evolução podem corroer a eficácia de abordagens estáticas. Esse ponto se torna mais concreto quando uma atualização de extensão de carteira é suspeita de coletar segredos por meio de lógica ofuscada do lado do cliente.

As próximas divulgações da Trust Wallet definirão os limites para a resolução dessa história.

Um relatório pós-morte do fornecedor que documente a causa raiz, publique indicadores verificados (domínios, hashes, identificadores de pacotes) e esclareça o escopo ajudaria provedores de carteiras, exchanges e equipes de segurança a desenvolver verificações direcionadas e instruções aos usuários.

Na ausência disso, os totais de incidentes tendem a permanecer instáveis. Relatórios de vítimas podem chegar tarde, o agrupamento on-chain pode ser refinado, e os investigadores podem ainda estar analisando se diferentes drenadores compartilham infraestrutura ou são imitadores oportunistas.

Os mercados de tokens refletiram a notícia com movimentação, mas sem uma reprecificação em sentido único.

Os últimos números cotados para Trust Wallet Token (TWT) mostraram um último preço de US$ 0,83487, alta de US$ 0,01 (0,02%) em relação ao fechamento anterior. Os dados mostraram uma máxima intradiária de US$ 0,8483 e uma mínima intradiária de US$ 0,767355.

A contabilização das perdas segue em aberto. O melhor parâmetro público atual é a faixa de US$ 6 milhões a mais de US$ 7 milhões relatada nas primeiras 48 a 72 horas após a circulação da 2.68.

Essa faixa ainda pode mudar por razões rotineiras em investigações de roubo

Essas razões incluem relatos tardios de vítimas, reclassificação de endereços e melhor visibilidade sobre swaps cross-chain e rotas de saque.

Uma faixa prática de projeção para as próximas duas a oito semanas pode ser estruturada em cenários atrelados a variáveis de oscilação mensuráveis. Isso inclui se o caminho de comprometimento foi restrito à entrada de frase-semente na 2.68, se caminhos adicionais de captura são confirmados e com que rapidez as iscas “fix” imitadoras são removidas.

O incidente ocorre em meio ao aumento do escrutínio sobre como softwares de cripto voltados ao varejo lidam com segredos em dispositivos de uso geral.

Os relatos de roubo em 2025 foram grandes o suficiente para atrair a atenção de políticas e plataformas.

Incidentes ligados à distribuição de software também reforçam os apelos por controles de integridade de compilação, incluindo builds reprodutíveis, assinatura por chave dividida e opções de reversão mais claras quando um hotfix é necessário.

Para extensões de carteira, o resultado prático de curto prazo é mais simples. Os usuários devem decidir se já inseriram uma frase-semente enquanto a 2.68 estava instalada, pois essa única ação determina se apenas atualizar é suficiente ou se precisam rotacionar segredos e transferir fundos.

A orientação da Trust Wallet continua sendo desabilitar a extensão 2.68 e atualizar para a 2.69 a partir da Chrome Web Store.

Usuários que importaram ou inseriram uma frase-semente enquanto utilizavam a 2.68 devem considerar essa frase comprometida e migrar os ativos para uma nova carteira.

A Trust Wallet confirmou agora que aproximadamente US$ 7 milhões foram impactados no incidente da extensão Chrome v2.68 e que irá reembolsar todos os usuários afetados.

Em um comunicado publicado no X, a empresa disse que está finalizando o processo de reembolso e compartilhará instruções sobre os próximos passos “em breve”. A Trust Wallet também pediu aos usuários que não interajam com mensagens que não venham de seus canais oficiais, alertando que golpistas podem tentar se passar pela equipe durante o processo de remediação.

A publicação Hidden script caught harvesting private keys as Trust Wallet issues emergency warning for Chrome users apareceu primeiro em CryptoSlate.