Una actualización rutinaria de la extensión de Chrome se convirtió en el inicio de un importante robo de criptoactivos. El 24 de diciembre, Trust Wallet lanzó la versión 2.68 de su extensión para Chrome a través de la Chrome Web Store.
El 25 de diciembre, día de Navidad, las primeras víctimas se despertaron y descubrieron que los fondos de sus monederos habían sido transferidos sin autorización. El investigador de blockchain ZachXBT inició rápidamente una investigación y lanzó una alerta urgente en grupos de Telegram.
A medida que avanzaba la investigación, se aclaró el alcance total del incidente: solo los usuarios de la extensión de navegador versión 2.68 se vieron afectados; las versiones móviles y otras permanecieron seguras.
01 Resumen del incidente: Brecha de seguridad navideña y respuesta de la comunidad
El 25 de diciembre de 2025, un día destinado a la celebración, se convirtió en una pesadilla para cientos de usuarios de Trust Wallet. El detective on-chain ZachXBT dio la voz de alarma, informando que cientos de usuarios habían sufrido el robo de fondos en la plataforma Trust Wallet, con pérdidas que ya alcanzaban al menos los 6 millones de dólares.
Trust Wallet, un monedero de criptomonedas bajo el paraguas de Binance, afirma contar con decenas de millones de usuarios. Como monedero líder no custodial, soporta grandes blockchains como Ethereum y Binance Smart Chain, y se integra estrechamente con numerosas plataformas DeFi.
Tras la brecha, Trust Wallet emitió oficialmente una alerta de seguridad, confirmando una vulnerabilidad en la versión 2.68 de la extensión de navegador y lanzó de forma urgente la versión corregida 2.69.
El fundador de Binance, CZ, también respondió en redes sociales, afirmando que las pérdidas totales por la vulnerabilidad ascendían aproximadamente a 7 millones de dólares, y prometió que la plataforma compensaría íntegramente a los usuarios afectados, asegurando que los fondos están "SAFU" (Secure Asset Fund for Users).
02 Cronología del ataque: Un robo navideño cuidadosamente orquestado
La cronología de esta brecha de seguridad revela una planificación meticulosa por parte de los atacantes. El 24 de diciembre, víspera de Navidad, Trust Wallet publicó la actualización de la extensión en la Chrome Web Store. La mayoría de los usuarios, inmersos en el ambiente festivo, actualizaron de forma automática o manual.
Pocas horas después, en la mañana del 25 de diciembre (hora del este de EE. UU., desde primera hora hasta el mediodía), las primeras víctimas empezaron a notar transferencias no autorizadas de fondos. Tras recibir varios reportes, ZachXBT lanzó una alerta pública en Telegram alrededor del mediodía hora local.
Las transferencias no autorizadas continuaron durante más de 30 horas, abarcando un periodo considerable desde los primeros reportes. Durante este robo en curso, las cuentas oficiales de Trust Wallet seguían publicando felicitaciones navideñas y campañas de marketing, un contraste que alimentó la fuerte insatisfacción de la comunidad.
No fue hasta el 26 de diciembre, más de 30 horas después del inicio del incidente, cuando los representantes de Trust Wallet reconocieron públicamente la vulnerabilidad en la extensión de navegador. Esta respuesta tardía generó críticas generalizadas y aumentó la preocupación de los usuarios.
03 Análisis técnico: La vulnerabilidad fatal en la extensión de navegador
Expertos en seguridad sugieren que el ataque pudo ejecutarse de dos formas: o bien se inyectó código malicioso de forma deliberada durante la actualización, o se introdujo inadvertidamente una vulnerabilidad explotable.
Los elevados permisos de las extensiones de Chrome las convierten en objetivos prioritarios para los atacantes. Estas extensiones pueden leer y modificar todo el contenido web al que accede el usuario, interceptar solicitudes de red, inyectar scripts arbitrarios e incluso acceder al almacenamiento local.
El CISO de SlowMist señaló además que esta brecha podría haberse originado por la compromisión de los dispositivos de los desarrolladores o del repositorio de código, y que los usuarios siguen viéndose afectados. Este análisis pone de manifiesto la amenaza de los ataques a la cadena de suministro: los atacantes no necesitan vulnerar directamente la aplicación del monedero; basta con comprometer cualquier dependencia upstream.
Las investigaciones de seguridad muestran que los monederos de navegador enfrentan tres riesgos sistémicos: las actualizaciones automáticas obligan a los usuarios a aceptar nuevas versiones sin revisión de código; el abuso de permisos permite que extensiones legítimas añadan código malicioso durante las actualizaciones; las vulnerabilidades en la cadena de dependencias significan que las aplicaciones downstream pueden verse afectadas sin conocimiento de los usuarios.
04 Rastreo de fondos: La ruta de lavado del hacker
Los datos de monitorización de PeckShield indican que, en el exploit de Trust Wallet, los hackers han robado más de 6 millones de dólares en criptoactivos a las víctimas. Estos fondos fueron transferidos de forma rápida y automática a un grupo de monederos controlados por los atacantes.
El seguimiento del flujo de fondos revela un proceso sistemático de lavado:
| Estado de los fondos | Importe (aprox. USD) | Destino principal o notas |
|---|---|---|
| Aún en monederos de los hackers | 2,8 millones de dólares | Distribuidos entre las redes Bitcoin, EVM y Solana |
| Transferidos a exchanges centralizados | Más de 4 millones de dólares | Enviados a ChangeNOW, FixedFloat, KuCoin y otros |
En concreto, unos 3,3 millones de dólares se enviaron a ChangeNOW, unos 340 000 dólares a FixedFloat y aproximadamente 447 000 dólares a KuCoin. Este patrón de transferencias rápidas y dispersas es típico de brechas en extensiones o frontends, diseñado para dificultar el rastreo.
Analistas on-chain detectaron que un monedero EVM recién creado recibió transacciones que iban desde fracciones de ETH hasta 7 ETH. Una dirección aún mantiene más de 255 ETH, valorados en unos 750 000 dólares.
En la red Bitcoin, una sola dirección recibió más de 12 BTC (más de 1 millón de dólares) a través de 66 transacciones, mientras que otros monederos recibieron en conjunto 1,5 BTC.
05 Impacto en el mercado y evolución del token
El incidente de Trust Wallet no solo afectó a las víctimas directas, sino que también sacudió el mercado cripto en general. Como token de utilidad nativo del ecosistema del monedero, Trust Wallet Token (TWT) podría enfrentar presión bajista en su precio.
El fundador de SlowMist, Yu Jin, señaló además que el atacante parecía estar muy familiarizado con el código fuente de la extensión de Trust Wallet, inyectando PostHog JS para recopilar una amplia gama de datos de los monederos de los usuarios. De forma alarmante, la versión corregida de Trust Wallet no eliminó el script PostHog JS.
Históricamente, incidentes de seguridad similares han provocado caídas de precios de los tokens relacionados de entre el 10 y el 20 % en 24 horas, con un aumento del volumen de negociación por ventas de pánico. Este evento también podría impulsar a los inversores a migrar hacia activos más seguros como Bitcoin y Ethereum.
A fecha 26 de diciembre, los datos de la plataforma Gate muestran un sentimiento de mercado cauteloso, con inversores prestando mayor atención a los problemas de seguridad de los monederos. Aunque CZ ha prometido una compensación total, recuperar la confianza del mercado llevará tiempo.
06 Guía de respuesta para usuarios y recomendaciones de seguridad
Si eres usuario de Trust Wallet y podrías estar afectado, sigue estos pasos inmediatos:
Paso 1: Revisión y aislamiento. Revisa tu historial de transacciones de las últimas 48 horas, prestando especial atención a transferencias no autorizadas de tokens, interacciones con contratos o autorizaciones de firmas. Si detectas actividad sospechosa, desactiva inmediatamente la extensión de Trust Wallet en Chrome accediendo a chrome://extensions y eliminándola o desactivándola.
Paso 2: Recuperación de activos. Utiliza Revoke.cash o la función Token Approvals de Etherscan para revocar todas las autorizaciones DeFi. Crea un monedero totalmente nuevo con una frase semilla generada desde cero—no restaures desde tu monedero antiguo. Transfiere los activos restantes al nuevo monedero y evita utilizar dispositivos que puedan estar comprometidos.
Paso 3: Reporta y defiéndete. ZachXBT recomienda que las víctimas contacten proactivamente con las fuerzas de seguridad y aporten registros detallados de las transacciones. Aunque los casos de robo de criptomonedas rara vez se resuelven, establecer un registro oficial es crucial para futuras demandas colectivas o reclamaciones de seguro.
Para usuarios de Trust Wallet que no se hayan visto afectados, las medidas preventivas incluyen: dejar de usar la extensión de Chrome, cambiar a aplicaciones móviles o monederos hardware; revisar y revocar autorizaciones innecesarias de contratos DeFi; evitar firmar nuevas transacciones o aprobaciones hasta que la situación se aclare; respaldar regularmente la frase semilla y almacenarla fuera de línea; considerar mover grandes cantidades de activos a un monedero hardware.
El centro de soporte oficial de Trust Wallet ha detallado el proceso de compensación y las víctimas pueden registrar sus reclamaciones a través de este canal. ZachXBT señaló que, si se determina la responsabilidad de Trust Wallet, la plataforma podría tener que compensar a los usuarios afectados.
Perspectiva
Con más de 4 millones de dólares en fondos robados ya transferidos a exchanges como ChangeNOW, FixedFloat y KuCoin, las secuelas de este robo navideño siguen resonando en el mundo cripto. La firma de seguridad PeckShield informa que unos 2,8 millones de dólares permanecen en monederos controlados por los hackers.
Yu Jin, el experto en seguridad que descubrió el script sospechoso aún presente en la versión corregida, continúa lanzando advertencias en redes sociales. En el mundo de los activos digitales, la seguridad nunca es un evento puntual: es una maratón interminable.
El silencio y las acciones posteriores de Trust Wallet marcarán el tono de la respuesta de la industria ante las crisis de seguridad. Para cada titular de criptoactivos, este incidente es un recordatorio claro y contundente: la verdadera seguridad siempre está en tus propias manos.
