Extensão do Chrome Trust Wallet: Script oculto coletou chaves privadas, prejuízo de até 7 milhões de USD

Incidente de segurança grave: Versão 2.68 expõe seed phrase dos utilizadores

Nos dias 24-25 de dezembro de 2025, a Trust Wallet emitiu um aviso de emergência solicitando aos utilizadores do Chrome que parassem de usar a versão 2.68 da extensão. A empresa detectou uma vulnerabilidade de segurança na execução do código, que permitiu a recolha não autorizada de seed phrases e chaves privadas dos utilizadores. Relatórios iniciais indicam um prejuízo total de aproximadamente 6-7 milhões de USD em várias blockchains nos primeiros 48-72 horas.

A extensão Trust Wallet na Chrome Web Store atualmente tem cerca de 1 milhão de utilizadores instalados. A gravidade real da ameaça depende do número de pessoas que atualizaram para a versão 2.68 e inseriram informações sensíveis enquanto a falha existia. A Trust Wallet afirma que as versões móveis e de outras plataformas não foram afetadas.

Mecanismo de ataque: Código JavaScript malicioso recolhe segredos da carteira

Especialistas em segurança identificaram uma lógica suspeita no pacote de instalação da versão 2.68. Especificamente, num ficheiro JavaScript que faz referência ao ficheiro “4482.js”, os analistas descobriram que esse código tem a capacidade de transmitir seed phrases e chaves privadas para um servidor externo.

A seed phrase é uma sequência de palavras que permite desbloquear todos os endereços atuais e futuros gerados a partir dela. Isto significa que, se a seed phrase for comprometida, toda a carteira e ativos em diferentes blockchains podem ser esvaziados. A equipa de investigação identificou um risco elevado para quem inseriu ou recuperou a seed phrase após a instalação da versão com falha.

Ações necessárias: Atualização não é suficiente, é preciso transferir ativos

Atualizar para a versão 2.69 pode remover o código malicioso futuramente, mas isto não protege automaticamente os ativos se a seed phrase já tiver sido comprometida anteriormente.

Se inseriu ou recuperou a seed phrase na versão 2.68, deve assumir que essa seed foi exposta. Os passos padrão de mitigação incluem:

• Criar uma nova seed phrase completamente diferente
• Transferir todos os ativos para uma nova carteira criada com a nova seed
• Revogar aprovações de tokens (token approvals) nos contratos inteligentes, se possível

Estas ações podem ser dispendiosas, pois envolvem transferir ativos entre várias blockchains. Os utilizadores devem ponderar entre velocidade e custos de gás, especialmente em transações de ponte cross-chain.

Fraudes de “ajuda” em aumento

No mesmo período do incidente, começaram a surgir esquemas de fraude secundários. Os hackers criaram domínios falsos de “resolução de problemas” para enganar os utilizadores e obter a seed phrase sob o pretexto de “assistência na recuperação da carteira”.

A Trust Wallet recomenda que os utilizadores não interajam com mensagens que não provenham de canais oficiais. Os atacantes podem falsificar a equipa de suporte da Trust Wallet para direcionar vítimas. Sempre verifique a origem de qualquer pedido relacionado com a seed phrase.

Problema mais amplo: Extensões são ponto fraco na segurança de carteiras

Este incidente destaca um risco fundamental das extensões de navegador. Elas estão numa posição sensível entre a aplicação web e o processo de assinatura de transações, podendo interferir nas informações que o utilizador usa para verificar operações.

Estudos académicos sobre a Chrome Web Store mostram que extensões maliciosas ou comprometidas podem escapar à moderação automática. À medida que as táticas de ataque evoluem, a deteção torna-se mais difícil. Isto é especialmente preocupante para atualizações de carteiras, onde o código do lado do cliente fica mais confuso, dificultando análises.

Precedente: Disciplina no processo de distribuição de software

Este incidente levanta questões sobre a integridade do desenvolvimento e distribuição de software. Soluções a longo prazo podem incluir:

• Construção de (reproducible builds)
• Separação de chaves (key separation)
• Processos de rollback mais claros

Estas medidas ajudarão fornecedores e plataformas a desenvolver métodos de verificação e orientações mais eficazes para os utilizadores.

Dados de mercado: Investidores continuam “à espera”

Apesar do incidente grave, o mercado do token TWT (Trust Wallet Token) reflete as informações de forma complexa. Segundo dados atualizados a 12 de janeiro de 2026:

• Preço atual: $0.89
• Variação nas 24h: +0.13%
• Máximo nas 24h: $0.90
• Mínimo nas 24h: $0.86

Esta volatilidade indica que os investidores ainda não reavaliaram o token de forma unidirecional. Sinais de otimismo podem vir de compromissos de reembolso por parte da Trust Wallet ou da confiança na resolução do problema.

Previsão de prejuízos: De $6-12 milhões até $25 milhões+ em 2-8 semanas

As razões para os prejuízos continuarem a aumentar incluem:

• Relatórios tardios de vítimas
• Reclassificação de endereços
• Melhorias na monitorização de transações de troca cross-chain

Um intervalo de previsão realista para as próximas 2-8 semanas pode ser dividido em cenários:

Isto depende de: se a recolha de dados se limitar à inserção da seed na v2.68, se existem outros vetores de ataque, e da rapidez na eliminação de domínios falsos.

Linha do tempo do incidente

• 24 de dezembro: Implementação da versão 2.68; início de relatos de saques
• 25 de dezembro: Trust Wallet lança a versão 2.69 com correções
• Primeiras 48-72 horas: prejuízo total estimado em cerca de 6-7 milhões de USD

Últimas recomendações da Trust Wallet

A empresa confirmou que cerca de 7 milhões de USD foram afetados e compromete-se a reembolsar todos os utilizadores afetados. As orientações da Trust Wallet são:

1. Desinstalar imediatamente a extensão versão 2.68 do Chrome
2. Atualizar para a versão 2.69 na Chrome Web Store
3. Se inseriu a seed na versão 2.68: considere que essa seed foi comprometida, crie uma nova e transfira os ativos
4. Não interaja com mensagens não oficiais - Os hackers podem falsificar a equipa de suporte
5. Aguardar instruções de reembolso nos canais oficiais

Este incidente serve como lembrete de que, embora as extensões sejam convenientes, os utilizadores devem ponderar cuidadosamente os riscos de segurança associados.