A Trust Wallet vinculou um segundo ataque de cadeia de suprimentos Shai-Hulud a um hack na sua extensão Chrome, resultando no roubo de cerca de US$ 8,5 milhões em criptomoedas. O incidente envolveu uma versão maliciosa da extensão que exfiltrou dados sensíveis das carteiras dos usuários. A empresa reverteu o software comprometido e comprometeu-se a reembolsar os usuários afetados.
A Trust Wallet, uma popular carteira de criptomoedas, divulgou detalhes de um segundo ataque de cadeia de suprimentos ligado ao incidente Shai-Hulud, confirmando que hackers roubaram aproximadamente US$ 8,5 milhões em ativos cripto por meio de uma extensão Chrome comprometida.
A violação remonta a um ataque de cadeia de suprimentos em novembro de 2025, quando os segredos do GitHub do desenvolvedor da empresa foram expostos. Esse vazamento forneceu aos atacantes acesso ao código-fonte da extensão do navegador e a uma chave API da Chrome Web Store. Usando esses, os hackers contornaram os controles internos de lançamento e publicaram uma versão adulterada, 2.68, em 24 de dezembro de 2025. A extensão maliciosa incluía código hospedado no domínio metrics-trustwallet.com, projetado para coletar dados sensíveis das carteiras dos usuários sem injeção de código tradicional.
Como detalhado no relatório da Trust Wallet, “O atacante registrou o domínio metrics-trustwallet.com (e subdomínio api.metrics-trustwallet.com) com a intenção de hospedar código malicioso e incorporar uma referência a esse código em sua implantação maliciosa da Extensão do Navegador Trust Wallet.” O código era ativado a cada desbloqueio de carteira, iterando por todas as carteiras configuradas e incorporando frases-semente em dados de telemetria disfarçados enviados ao servidor do atacante.
A empresa de cibersegurança Koi analisou o malware, observando que ele exfiltrava dados independentemente do método de autenticação. O domínio resolvia para o endereço IP 138.124.70.40, hospedado pela Stark Industries Solutions, um provedor à prova de balas ligado a operações cibernéticas russas. Consultas ao servidor retornavam uma citação de Dune, referenciando o incidente original npm Shai-Hulud.
Atividades de drenagem de carteiras surgiram em 25 de dezembro de 2025, provocando uma resposta rápida. Pesquisadores 0xAkinator e ZachXBT rastrearam carteiras dos atacantes, enquanto a Trust Wallet emitiu alertas, reverteu para a versão limpa 2.67 (lançada como 2.69) e mitigou tentativas de DDoS. “Em 25 de dezembro, a primeira atividade de drenagem de carteiras foi relatada publicamente”, afirma o relatório. A empresa priorizou uma atualização silenciosa por segurança, depois orientou os usuários a atualizar e alertou aqueles na versão 2.68 (24-26 de dezembro) a mover fundos.
A Trust Wallet desativou o acesso não autorizado a publicações, coordenou com empresas de análise blockchain para rastrear fundos roubados e prometeu reembolsos. Uma ferramenta de verificação está planejada para a versão 2.70, com investigações em andamento para fortalecer a segurança.
