Extensión de Chrome Trust Wallet: Script oculto que recopilaba claves privadas, con daños de hasta 7 millones de USD

Incidente de seguridad grave: La versión 2.68 revela la seed phrase de los usuarios

El 24-25 de diciembre de 2025, Trust Wallet emitió una advertencia urgente solicitando a los usuarios de Chrome que dejen de usar la versión 2.68 de la extensión. La compañía detectó una vulnerabilidad de seguridad en la ejecución del código, que permitía la recopilación no autorizada de seed phrases y claves privadas de los usuarios. Los informes iniciales registraron un daño total de aproximadamente 6-7 millones de USD en varias blockchains en las primeras 48-72 horas.

La extensión Trust Wallet en Chrome Web Store actualmente tiene alrededor de 1 millón de usuarios instalados. La magnitud del impacto real depende de cuántos hayan actualizado a la versión 2.68 e ingresado información sensible durante el período en que la falla estuvo activa. Trust Wallet afirma que la versión móvil y otras plataformas no están afectadas.

Mecanismo del ataque: Código JavaScript malicioso que recopila secretos de la wallet

Los investigadores de seguridad detectaron una lógica sospechosa en el paquete de instalación de la versión 2.68. Específicamente, en un archivo JavaScript que hace referencia al archivo “4482.js”, los analistas descubrieron que dicho código podía transmitir la seed phrase y la clave privada a un servidor externo.

La seed phrase es una secuencia de palabras que permite desbloquear todas las direcciones actuales y futuras generadas a partir de ella. Esto significa que, si la seed phrase se filtra, toda la wallet y los activos en diferentes cadenas están en riesgo de ser vaciados. El equipo de revisión identificó un riesgo alto para quienes ingresaron o restauraron la seed phrase después de instalar la versión comprometida.

Acciones necesarias: Actualización no suficiente, hay que transferir los activos

Actualizar a la versión 2.69 puede eliminar el código malicioso en el futuro, pero esto no protege automáticamente los activos si la seed phrase ya fue comprometida previamente.

Si ingresaste o restauraste la seed phrase usando la versión 2.68, debes considerar que esa seed ya fue expuesta. Los pasos estándar para remediar incluyen:

• Crear una seed phrase completamente nueva
• Transferir todos los activos a una wallet creada con la nueva seed phrase
• Revocar las aprobaciones de tokens (token approvals) en los contratos inteligentes si es posible

Estas acciones pueden ser costosas, ya que implican mover activos entre diferentes cadenas. Los usuarios deben sopesar entre la rapidez y el costo del gas, especialmente en transacciones de puente cross-chain.

Estafas de “rescate” en aumento

Al mismo tiempo que ocurrió el incidente, comenzaron a aparecer esquemas de estafa secundarios. Los delincuentes crean dominios falsos de “solución de problemas” para engañar a los usuarios y que compartan su seed phrase bajo la apariencia de “asistencia para recuperar la wallet”.

Trust Wallet advierte a los usuarios que no interactúen con mensajes que no provengan de canales oficiales. Los atacantes pueden falsificar al equipo de soporte de Trust Wallet para concentrar víctimas. Siempre verifique la fuente de cualquier solicitud relacionada con la seed phrase.

Problema mayor: Las extensiones son un punto débil en la seguridad de las wallets

Este incidente resalta un riesgo fundamental de las extensiones de navegador. Se colocan en una posición sensible entre la aplicación web y el proceso de firma de transacciones, permitiendo que intervengan en información que el usuario usa para verificar transacciones.

Investigaciones académicas sobre Chrome Web Store muestran que las extensiones maliciosas o comprometidas pueden evadir la revisión automática. A medida que las tácticas de ataque evolucionan, la detección también disminuye. Esto es especialmente preocupante en las actualizaciones de wallets, donde el código del lado del cliente puede estar enredado, dificultando el análisis.

Precedente: Disciplina en el proceso de distribución de software

El incidente también plantea dudas sobre la integridad del proceso de desarrollo y distribución de software. Las soluciones a largo plazo pueden incluir:

• Construcción de (reproducible builds)
• Separación de claves (key separation)
• Procesos de reversión más claros

Estas medidas ayudarán a los proveedores y plataformas a establecer mejores métodos de verificación y guías para los usuarios.

Datos del mercado: Los inversores aún “esperan y ven”

A pesar del incidente grave, el mercado del token TWT (Trust Wallet Token) refleja la información de manera compleja. Según datos actualizados al 12 de enero de 2026:

• Precio actual: $0.89
• Cambio en 24h: +0.13%
• Máximo en 24h: $0.90
• Mínimo en 24h: $0.86

Esta volatilidad indica que los inversores aún no han valorado el token en una sola dirección. Las señales optimistas pueden provenir de los compromisos de reembolso de Trust Wallet o de la confianza en la capacidad de remediar la situación.

Pronóstico de daños: De $6-12 millones a $25 millones+ en 2-8 semanas

Las razones por las que los daños pueden seguir aumentando incluyen:

• Reportes tardíos de las víctimas
• Reclasificación de direcciones
• Mejoras en el seguimiento de transacciones de intercambio cruzado

Un rango realista de pronóstico en 2-8 semanas puede dividirse en escenarios:

Esto depende de si la recopilación se limita a ingresar la seed en v2.68, si hay otros vectores de ataque, y la rapidez en eliminar dominios falsos.

Cronología del incidente

• 24 de diciembre: Se despliega la versión 2.68; comienzan a reportarse retiros
• 25 de diciembre: Trust Wallet lanza la versión 2.69 con correcciones
• 48-72 horas: El daño total estimado alcanza aproximadamente 6-7 millones de USD

Recomendación final de Trust Wallet

La compañía ha confirmado que aproximadamente 7 millones de USD están afectados y se compromete a reembolsar a todos los usuarios afectados. Las instrucciones de Trust Wallet son:

1. Desactivar inmediatamente la extensión versión 2.68 desde Chrome
2. Actualizar a la versión 2.69 desde Chrome Web Store
3. Si ingresaste la seed phrase en 2.68: considera que esa seed fue comprometida, crea una nueva seed y transfiere los activos
4. No interactúes con mensajes no oficiales — Los estafadores pueden falsificar al equipo de soporte
5. Espera instrucciones de reembolso desde canales oficiales

Este incidente es un recordatorio de que, aunque las extensiones son convenientes, los usuarios deben evaluar cuidadosamente los riesgos de seguridad asociados.