Fundador da Trust Wallet, CZ promete reembolsar $7 milhões perdidos no hack do dia de Natal

A Trust Wallet comprometeu-se a cobrir aproximadamente 7 milhões de dólares em fundos de clientes perdidos numa exploração do dia de Natal, confirmou o seu fundador, Changpeng Zhao, na plataforma social X. A violação repentina abalou parte da comunidade cripto. Ainda assim, a rápida garantia de Zhao visa acalmar os nervos e restaurar a confiança na popular carteira custodial.

O incidente ocorreu a 25 de dezembro, quando uma versão comprometida da extensão de navegador da Trust Wallet foi utilizada para drenar ativos das carteiras dos utilizadores. 

As investigações iniciais sugerem que o código malicioso estava ativo na versão 2.68 da extensão, provocando transferências não autorizadas através de múltiplas blockchains, incluindo Ethereum, Bitcoin e Solana. Em poucas horas, dados on-chain mostraram fundos a serem desviados para endereços desconhecidos, com perdas a aproximarem-se rapidamente dos 7 milhões de dólares.

Numa publicação no X na sexta-feira, Zhao enfatizou que "os fundos dos utilizadores estão SAFU", utilizando o popular acrónimo da indústria cripto para Secure Asset Fund for Users. Ele disse que a Trust Wallet reembolsará os utilizadores afetados pelas suas perdas. A equipa continua a investigar exatamente como os atacantes conseguiram carregar e distribuir a extensão comprometida.

O fornecedor da carteira também descreveu a violação como limitada à extensão do navegador. A Trust Wallet instou os utilizadores a desativar imediatamente a versão comprometida e atualizar para a versão corrigida, versão 2.69, disponível através da Chrome Web Store oficial.

Os utilizadores de aplicações móveis e aqueles que utilizam outras versões da extensão alegadamente não foram afetados.

Como se desenrolou a exploração da Trust Wallet

Investigadores de segurança e analistas on-chain começaram a montar uma cronologia do ataque. Os primeiros sinais de preparação pelos agentes de ameaça remontam ao início de dezembro, segundo a empresa de cibersegurança SlowMist. O seu relatório indica que o código malicioso foi incorporado na construção da extensão antes de ser lançado, sugerindo uma exploração cuidadosamente planeada em vez de um simples ataque automatizado.

Uma vez lançada no dia de Natal, a extensão comprometida recolheu dados sensíveis dos utilizadores, incluindo frases-semente, e transmitiu-os para um servidor remoto controlado pelos atacantes. As vítimas que importaram uma frase-semente para a extensão viram as suas carteiras drenadas em questão de minutos, mesmo que tivessem seguido práticas comuns de segurança.

Em toda a comunidade cripto, investigadores on-chain sinalizaram centenas de carteiras afetadas pela violação. O movimento rápido de ativos através de serviços de mistura complicou os esforços para rastrear fundos roubados, tornando os esforços de recuperação de ativos desafiantes.

O mercado mais amplo sentiu o choque das notícias, chegando numa altura em que os preços das criptomoedas já estavam sob pressão. Apesar do tamanho relativamente modesto da perda em comparação com os enormes hacks de exchanges este ano, o incidente atraiu novo escrutínio à infraestrutura de carteiras baseadas em navegador e à segurança da cadeia de fornecimento.

Entretanto, a promessa pública de Zhao de cobrir as perdas destinava-se a tranquilizar os utilizadores de que o incidente não resultaria em perda financeira pessoal. A sua mensagem enfatizou que os fundos afetados serão reembolsados das reservas da Trust Wallet, e que o problema parece estar confinado à extensão comprometida.

Alguns observadores da indústria levantaram questões sobre como a versão maliciosa passou pela revisão de segurança e foi distribuída através de canais oficiais.

Há sugestões iniciais de que a violação pode envolver um comprometimento da cadeia de fornecimento ou até conhecimento interno, dado como o código alterado conseguiu entrar no lançamento oficial. Estas sugestões desencadearam debate em fóruns e plataformas sociais, com alguns utilizadores expressando preocupações sobre controlos internos e processos de revisão manual.

A Trust Wallet respondeu priorizando o lançamento da extensão corrigida e pedindo aos utilizadores para atualizar imediatamente. Também foi recomendado que os afetados gerem novas frases-semente e migrem ativos para ambientes seguros.

A publicação Fundador da Trust Wallet, CZ, promete reembolsar 7 milhões de dólares perdidos no hack do dia de Natal apareceu primeiro no Technext.