Uma atualização de rotina da extensão Chrome transformou-se no início de um dos maiores roubos de criptoativos. No dia 24 de dezembro, a Trust Wallet lançou uma atualização para a sua extensão Chrome, versão 2.68, através da Chrome Web Store.
No dia 25 de dezembro, Dia de Natal, as primeiras vítimas acordaram e encontraram os fundos das suas carteiras transferidos sem autorização. O investigador de blockchain ZachXBT iniciou rapidamente uma investigação e emitiu um alerta urgente em grupos de Telegram.
À medida que a investigação avançava, o alcance total do incidente tornou-se claro: apenas os utilizadores da extensão de navegador na versão 2.68 foram afetados; as versões móveis e outras mantiveram-se seguras.
01 Resumo do Incidente: Violação de Segurança no Natal e Resposta da Comunidade
O dia 25 de dezembro de 2025—um dia destinado a celebrações—tornou-se um pesadelo para centenas de utilizadores da Trust Wallet. O perito on-chain ZachXBT deu o alerta, reportando que centenas de utilizadores viram os seus fundos roubados na plataforma Trust Wallet, com perdas já a ultrapassar pelo menos 6 milhões $.
A Trust Wallet, uma carteira de criptomoedas sob a alçada da Binance, afirma contar com dezenas de milhões de utilizadores. Enquanto carteira não custodial de referência, suporta as principais blockchains como Ethereum e Binance Smart Chain, integrando-se de forma próxima com inúmeras plataformas DeFi.
Após a violação, a Trust Wallet emitiu oficialmente um alerta de segurança, confirmando uma vulnerabilidade na extensão de navegador versão 2.68 e lançou de imediato uma versão corrigida, a 2.69.
O fundador da Binance, CZ, reagiu também nas redes sociais, indicando que as perdas totais decorrentes da vulnerabilidade ascenderam a cerca de 7 milhões $, e garantiu que a plataforma iria compensar integralmente os utilizadores afetados, assegurando que os fundos estão "SAFU" (Secure Asset Fund for Users).
02 Linha Temporal do Ataque: Um Roubo de Natal Cuidadosamente Orquestrado
A cronologia desta violação de segurança revela um planeamento minucioso por parte dos atacantes. Na véspera de Natal, dia 24 de dezembro, a Trust Wallet disponibilizou a atualização da extensão na Chrome Web Store. A maioria dos utilizadores, envolvida no espírito festivo, atualizou automaticamente ou de forma manual.
Apenas algumas horas depois, na manhã de 25 de dezembro (hora da Costa Leste dos EUA, desde o início até ao final da manhã), as primeiras vítimas começaram a notar transferências de fundos não autorizadas. Após receber vários relatos, ZachXBT emitiu um alerta público no Telegram por volta do meio-dia, hora local.
As transferências não autorizadas prolongaram-se por mais de 30 horas, abrangendo um período significativo desde os primeiros relatos. Durante este roubo em curso, as contas oficiais da Trust Wallet continuavam a publicar mensagens de felicitações festivas e campanhas de marketing, um contraste gritante que alimentou o descontentamento da comunidade.
Só a 26 de dezembro—mais de 30 horas após o início do incidente—é que representantes da Trust Wallet reconheceram publicamente a vulnerabilidade na extensão do navegador. Esta resposta tardia gerou críticas generalizadas e agravou as preocupações dos utilizadores.
03 Análise Técnica: A Vulnerabilidade Fatal da Extensão de Navegador
Especialistas em segurança sugerem que o ataque poderá ter sido executado de duas formas: ou foi injetado código malicioso deliberadamente durante a atualização, ou foi introduzida inadvertidamente uma vulnerabilidade explorável.
Os elevados privilégios das extensões Chrome tornam-nas alvos privilegiados para atacantes. Estas extensões podem ler e modificar todo o conteúdo web acedido pelo utilizador, intercetar pedidos de rede, injetar scripts arbitrários e até aceder ao armazenamento local.
O CISO da SlowMist referiu ainda que esta violação pode ter tido origem num compromisso dos dispositivos dos programadores ou do repositório de código, e continuam a surgir novos utilizadores afetados. Esta análise sublinha o risco dos ataques à cadeia de fornecimento—os atacantes não precisam de comprometer a aplicação da carteira diretamente; basta comprometer qualquer dependência a montante.
A investigação em segurança revela que as carteiras de navegador enfrentam três riscos sistémicos: atualizações automáticas obrigam os utilizadores a aceitar novas versões sem revisão de código; abuso de permissões permite que extensões legítimas adicionem código malicioso durante as atualizações; vulnerabilidades na cadeia de dependências fazem com que aplicações a jusante possam ser afetadas sem o conhecimento dos utilizadores.
04 Rastreio dos Fundos: O Circuito de Branqueamento do Hacker
Os dados de monitorização da PeckShield indicam que, no ataque à Trust Wallet, os hackers roubaram mais de 6 milhões $ em criptoativos às vítimas. Estes fundos foram transferidos de forma rápida e automática para um conjunto de carteiras controladas pelos atacantes.
O rastreio do fluxo dos fundos revela um processo sistemático de branqueamento:
| Estado dos Fundos | Montante (aprox. USD) | Destino Principal ou Notas |
|---|---|---|
| Ainda em carteiras dos hackers | 2,8 milhões $ | Distribuídos entre as redes Bitcoin, EVM e Solana |
| Transferidos para exchanges centralizadas | Mais de 4 milhões $ | Enviados para ChangeNOW, FixedFloat, KuCoin, entre outros |
Concretamente, cerca de 3,3 milhões $ foram enviados para a ChangeNOW, aproximadamente 340 000 $ para a FixedFloat e cerca de 447 000 $ para a KuCoin. Este padrão de transferências rápidas e dispersas é típico de ataques a extensões ou interfaces, concebido para dificultar o rastreio.
Analistas on-chain verificaram que uma carteira EVM recém-criada recebeu transações desde frações de ETH até 7 ETH. Um dos endereços ainda detém mais de 255 ETH, avaliados em cerca de 750 000 $.
Na rede Bitcoin, um único endereço recebeu mais de 12 BTC (superior a 1 milhão $) através de 66 transações, enquanto outras carteiras receberam, no total, 1,5 BTC.
05 Impacto no Mercado e Desempenho do Token
O incidente da Trust Wallet não afetou apenas as vítimas diretas, mas provocou também ondas de choque em todo o mercado cripto. Sendo o token utilitário nativo do ecossistema da carteira, o Trust Wallet Token (TWT) poderá enfrentar pressão descendente no preço.
O fundador da SlowMist, Yu Jin, salientou ainda que o atacante demonstrou grande familiaridade com o código-fonte da extensão Trust Wallet, injetando PostHog JS para recolher uma vasta gama de dados das carteiras dos utilizadores. De forma preocupante, a versão corrigida da Trust Wallet não removeu o script PostHog JS.
Historicamente, incidentes de segurança semelhantes provocaram quedas de 10–20% nos preços dos tokens relacionados em apenas 24 horas, com volumes de negociação a disparar devido ao pânico. Este evento poderá também levar investidores a migrarem para ativos considerados mais seguros, como Bitcoin e Ethereum.
A 26 de dezembro, os dados da plataforma Gate revelam um sentimento de mercado cauteloso, com os investidores a prestar mais atenção às questões de segurança das carteiras. Apesar da promessa de compensação total por parte de CZ, a recuperação da confiança do mercado será gradual.
06 Guia de Resposta do Utilizador e Recomendações de Segurança
Se é um potencial utilizador afetado da Trust Wallet, siga estes passos imediatos:
Passo 1: Rever e Isolar. Analise o histórico de transações das últimas 48 horas, prestando especial atenção a transferências de tokens não autorizadas, interações com contratos ou autorizações de assinaturas. Se detetar atividade suspeita, desative imediatamente a extensão Trust Wallet Chrome acedendo a chrome://extensions e removendo ou desativando a extensão.
Passo 2: Recuperação de Ativos. Utilize o Revoke.cash ou a funcionalidade Token Approvals do Etherscan para revogar todas as autorizações DeFi. Crie uma nova carteira com uma seed phrase gerada de raiz—não restaure a partir da carteira antiga. Transfira quaisquer ativos remanescentes para a nova carteira e evite utilizar dispositivos que possam ter sido comprometidos.
Passo 3: Reportar e Defender. ZachXBT recomenda que as vítimas contactem proativamente as autoridades e forneçam registos detalhados das transações. Embora os casos de roubo de cripto raramente sejam resolvidos, registar oficialmente o incidente é fundamental para futuras ações coletivas ou pedidos de indemnização.
Para utilizadores da Trust Wallet que não foram afetados, as medidas preventivas incluem: deixar de utilizar a extensão Chrome, optar por aplicações móveis ou carteiras físicas; rever e revogar autorizações DeFi desnecessárias; evitar assinar novas transações ou aprovações até a situação estar esclarecida; fazer backups regulares da seed phrase e armazená-la offline; considerar transferir ativos de maior valor para uma carteira física.
O centro de suporte oficial da Trust Wallet já divulgou o processo de compensação, e as vítimas podem registar os seus pedidos através deste canal. ZachXBT referiu que, caso seja provada responsabilidade da Trust Wallet, a plataforma poderá ter de compensar os utilizadores afetados.
Perspetivas
Com mais de 4 milhões $ em fundos roubados já transferidos para exchanges como ChangeNOW, FixedFloat e KuCoin, as repercussões deste roubo de Natal continuam a fazer-se sentir no universo cripto. A empresa de segurança PeckShield reporta que cerca de 2,8 milhões $ permanecem em carteiras controladas pelos hackers.
Yu Jin, o perito de segurança que identificou o script suspeito ainda presente na versão corrigida, continua a lançar avisos nas redes sociais. No mundo dos ativos digitais, a segurança nunca é um evento isolado—é uma maratona sem fim.
O silêncio e as ações subsequentes da Trust Wallet irão definir a forma como o setor responde a crises de segurança. Para todos os detentores de criptoativos, este incidente serve como um lembrete sóbrio e inequívoco: a verdadeira segurança está sempre nas suas próprias mãos.
