Trust Wallet inicia el proceso de compensación, asumiendo la pérdida total de 7 millones de dólares en la cartera de los usuarios

Trust Wallet ha iniciado el proceso de compensación para los afectados por el incidente de seguridad en la versión 2.68 de la extensión para Chrome. Este ataque cibernético provocó la pérdida de aproximadamente 7 millones de dólares en activos digitales en cientos de wallets. CZ, fundador de Binance, confirmó que la compañía asumirá la totalidad de las pérdidas de los usuarios afectados, quienes podrán presentar reclamaciones a través del sitio web oficial.

Filtración de la clave API de Trust Wallet provoca ataque en la cadena de suministro

Eowyn Chen, CEO de Trust Wallet, reveló en una investigación posterior la técnica principal del ataque. Los hackers obtuvieron la clave API de la tienda web de Chrome de Trust Wallet, un certificado clave que originalmente solo era utilizado por el equipo interno para publicar actualizaciones. Los atacantes aprovecharon esta “llave maestra” para, en UTC 24 de diciembre a las 12:32 p.m., saltarse el proceso interno estándar de publicación y subir directamente en la Chrome Web Store la versión manipulada 2.68.

Este método de ataque se conoce en seguridad informática como “ataque en la cadena de suministro”, donde los atacantes no atacan directamente a los usuarios, sino que se infiltran en la cadena de distribución del software, disfrazando código malicioso como una actualización oficial para todos los usuarios. Dado que la actualización provino de una tienda oficial y la firma del certificado era válida, los usuarios y navegadores no pudieron detectar su naturaleza maliciosa. Trust Wallet cuenta con aproximadamente un millón de usuarios de extensiones en Chrome, por lo que el impacto potencial de este ataque es muy amplio.

La empresa de seguridad blockchain SlowMist, en su análisis técnico, indicó que el código malicioso utilizó una biblioteca de análisis de código abierto modificada. El código cuidadosamente diseñado por los atacantes se activa cuando los usuarios inician sesión en la extensión, capturando en silencio la frase semilla de la wallet y enviándola a un servidor controlado por los hackers. La frase semilla es la credencial de mayor nivel para controlar una wallet de criptomonedas; si se filtra, los atacantes pueden tomar control total de todos los activos del víctima. Chen afirmó que los usuarios que hayan iniciado sesión en la extensión antes de las 11 a.m. UTC del 26 de diciembre podrían ya estar afectados.

Tras recibir la alerta publicada por el investigador en cadena ZachXBT en Telegram en Navidad, Trust Wallet activó inmediatamente un plan de respuesta de emergencia. El equipo lanzó la versión 2.69 el 25 de diciembre para corregir la vulnerabilidad y eliminó la versión maliciosa de la tienda Chrome. Sin embargo, los usuarios que iniciaron sesión durante la período en que la versión maliciosa estuvo en línea podrían haber visto comprometida su frase semilla, y las actualizaciones posteriores no podrán revertir la pérdida ya ocurrida.

Seguimiento de los 7 millones de dólares en fondos robados

La empresa de seguridad blockchain PeckShield rastreó el flujo de los fondos robados mediante análisis en la cadena. Aproximadamente 7 millones de dólares en activos digitales fueron robados en varias cadenas principales, incluyendo Bitcoin, Ethereum y Solana. Los atacantes adoptaron una estrategia de liquidación rápida, transfiriendo más de 4 millones de dólares a través de exchanges centralizados como ChangeNOW, FixedFloat y KuCoin. Hasta el jueves, unos 2.8 millones de dólares permanecían en las wallets de los hackers.

Este patrón de flujo de fondos indica que los atacantes tienen capacidades profesionales de lavado de dinero. ChangeNOW y FixedFloat son exchanges instantáneos sin KYC, comúnmente utilizados para confundir el origen de los fondos. La transferencia de parte del dinero a grandes exchanges como KuCoin puede ser para diversificar o convertir en efectivo. Aunque el rastreo en cadena es transparente, una vez que los fondos entran en exchanges centralizados o mezcladores, la recuperación se vuelve mucho más difícil.

Es importante notar que el ataque ocurrió en vísperas de Navidad, una estrategia típica de los hackers. Durante las festividades, los equipos de seguridad de las empresas reducen su personal, lo que disminuye la capacidad de respuesta y da más tiempo a los atacantes para mover los activos. Trust Wallet lanzó una versión de reparación en aproximadamente 24 horas, pero los hackers ya tuvieron suficiente tiempo para completar la primera ola de transferencias.

Actualmente, solo la extensión de Chrome de Trust Wallet se vio afectada; los usuarios de la aplicación móvil (iOS y Android) y otras versiones para navegadores (como Firefox y Edge) no se vieron afectados. Esto se debe a que diferentes plataformas utilizan canales de publicación y claves API independientes, y los atacantes solo lograron obtener permisos para publicar en la Chrome Web Store.

Proceso de compensación oficial y advertencias contra estafas

Trust Wallet ha habilitado en su sitio web oficial un formulario de reclamación formal. Los usuarios afectados deben proporcionar la siguiente información para completar la reclamación:

Información necesaria para la reclamación

· Datos básicos de identificación: dirección de correo electrónico y país/región de residencia, para verificación de identidad y contacto posterior

· Prueba de la wallet afectada: dirección de la wallet robada y la dirección de recepción del atacante, en formato completo de dirección en cadena

· Evidencia de la transacción: hash de la transacción (Transaction Hash), como prueba en cadena del robo de fondos

El equipo de Trust Wallet afirmó: «Estamos trabajando día y noche para definir los detalles del proceso de compensación, cada caso requiere verificación cuidadosa para garantizar precisión y seguridad». Este mecanismo de revisión busca prevenir reclamaciones falsas, pero también significa que la distribución de las compensaciones tomará tiempo. CZ, fundador de Binance, prometió en X: «Trust Wallet asumirá la totalidad de las pérdidas», y enfatizó que los fondos de los usuarios están «seguro y sin peligro». Binance adquirió Trust Wallet en 2018, y esta promesa refleja la voluntad de la empresa matriz de mantener la reputación de la marca.

Trust Wallet advierte especialmente a los usuarios sobre la aparición de formularios falsos y estafas de suplantación de identidad tras el incidente. Los hackers y estafadores suelen aprovechar eventos de seguridad para causar daños secundarios, mediante formularios falsos que roban más información personal o frases semilla. Los usuarios deben solo presentar reclamaciones a través del sitio oficial de Trust Wallet o canales oficiales verificados, y evitar hacer clic en enlaces desconocidos o compartir frases semilla con nadie.

Este incidente pone en evidencia el riesgo sistémico de los canales de publicación centralizados. Incluso las wallets descentralizadas dependen de plataformas centralizadas como Google y Apple para las actualizaciones de software. La mala gestión de claves API puede exponer a toda la base de usuarios a riesgos. Trust Wallet necesita revisar completamente sus mecanismos de almacenamiento de claves, adoptando medidas de seguridad más altas como módulos de seguridad hardware (HSM) o autorizaciones multi-firma. Para los usuarios, es recomendable hacer copias de seguridad periódicas de las frases semilla, usar hardware wallets para grandes cantidades de fondos y mantenerse atentos a los anuncios oficiales de seguridad para reducir riesgos similares.