La brecha de código del hacker de Trust Wallet: $6M en criptomonedas robadas a través de una extensión maliciosa

Un ataque sofisticado dirigido a los usuarios de Trust Wallet ha resultado en el robo de más de $6 millones en activos digitales, exponiendo una de las vulnerabilidades de seguridad más graves en el espacio de las carteras de criptomonedas. El ataque involucró código de hackers incrustado directamente en el código fuente de la extensión del navegador, un desarrollo que los investigadores de seguridad califican como una operación de Amenaza Persistente Avanzada (APT).

Cómo el Código del Hacker Explotó a los Usuarios de Trust Wallet

El 8 de diciembre de 2025, los atacantes registraron el dominio malicioso metrics-trustwallet.com. Dos semanas después, el 21-22 de diciembre, los investigadores de seguridad detectaron los primeros intentos de exfiltración de datos. El código del hacker operaba mediante un mecanismo engañosamente simple pero efectivo: cuando los usuarios desbloqueaban su extensión de Trust Wallet (versión 2.68), el código malicioso interceptaba sus frases semilla cifradas.

La vulnerabilidad no fue introducida a través de una biblioteca o dependencia de terceros comprometida; en cambio, los atacantes inyectaron directamente código malicioso en la base de código interna de Trust Wallet. Esta distinción es crucial: sugiere que los actores de la amenaza obtuvieron acceso a la infraestructura de desarrollo o a los sistemas de despliegue de Trust Wallet semanas antes de que el ataque se hiciera público.

La metodología del ataque se basó en robar las frases mnemónicas cifradas de los usuarios aprovechando las contraseñas o claves de acceso que ingresaron al desbloquear sus carteras. El código del hacker luego descifraba estas frases y las transmitía al servidor de comando y control del atacante (api.metrics-trustwallet[.]com), otorgando a los hackers control total sobre las carteras comprometidas.

Dentro del Ataque: Análisis Técnico del Código Malicioso del Hacker

Los investigadores de seguridad de SlowMist realizaron un análisis detallado comparando la versión 2.67 y la versión 2.68 de la extensión de Trust Wallet. Los hallazgos revelaron exactamente cómo funcionaba el código del hacker a nivel de aplicación.

El payload malicioso iteraba por todas las carteras almacenadas en la extensión y realizaba solicitudes para extraer la frase mnemónica cifrada del usuario. Una vez obtenida, el código la descifraba usando las credenciales de autenticación ingresadas durante el desbloqueo de la cartera. Si la descifrado tenía éxito —lo cual ocurría en todos los casos legítimos—, la frase mnemónica expuesta se enviaba automáticamente al servidor del atacante.

La sofisticación de este código del hacker sugiere un desarrollo de nivel profesional. Los atacantes utilizaron la biblioteca legítima de análisis PostHogJS como cobertura, redirigiendo datos analíticos legítimos a su infraestructura maliciosa. Esta técnica permitía que el código del hacker se mezclara con las operaciones normales de la cartera, evadiendo detecciones inmediatas.

El análisis dinámico del ataque reveló que, una vez descifrada, la información de la frase mnemónica se incrustaba en el campo de mensajes de error de las solicitudes de red —una técnica de ofuscación inteligente que permitía que las credenciales robadas atravesaran el tráfico de red sin levantar alertas inmediatas. El análisis del tráfico con BurpSuite confirmó que las frases de recuperación robadas se empaquetaban de forma consistente en el campo errorMessage antes de transmitirse al servidor del atacante.

Seguimiento de los Activos Robados y la Infraestructura del Atacante

Según datos divulgados por el investigador de seguridad zachxbt, el botín resultó en pérdidas sustanciales en varias cadenas de bloques:

• Blockchain de Bitcoin: Aproximadamente 33 BTC robados, valorados en unos (millones de dólares ) a las tasas actuales de $89.57K por BTC a enero de 2026$3
• Ethereum y redes Layer 2: Alrededor de $431 millones en pérdidas combinadas
• Blockchain de Solana: Aproximadamente (robados
• Otras redes: Pérdidas adicionales en diversos ecosistemas blockchain

El análisis post-robo muestra que los atacantes comenzaron inmediatamente a mover e intercambiar los activos robados a través de puentes descentralizados y múltiples exchanges centralizados, probablemente intentando ocultar el origen de los fondos y dificultar los esfuerzos de recuperación.

El dominio malicioso fue registrado el 8 de diciembre de 2025, a las 02:28:18 UTC, a través del registrador NICENIC INTERNATIONA. La sincronización entre el registro del dominio y los primeros intentos de exfiltración de datos sugiere fuertemente que fue una operación cuidadosamente coordinada —el código del hacker no fue desplegado apresuradamente, sino como parte de una campaña bien planificada.

Acciones Inmediatas: Protégete contra Ataques Basados en Código Similares

El equipo de desarrollo de Trust Wallet confirmó la vulnerabilidad en la versión 2.68 y emitió un aviso de seguridad urgente. La respuesta oficial incluyó estas directrices críticas:

Si usas la extensión del navegador de Trust Wallet:

1. Desconéctate de internet inmediatamente—este debe ser tu primer paso antes de realizar cualquier acción de resolución de problemas. Mantenerte conectado mientras tu cartera está potencialmente comprometida aumenta el riesgo de pérdida total de activos.

2. Exporta tus claves privadas o frases mnemónicas mientras estás offline, y desinstala inmediatamente la extensión de Trust Wallet. No vuelvas a habilitar la versión 2.68 bajo ninguna circunstancia.

3. Actualiza a la versión 2.69 solo después de mover tus fondos a una cartera completamente nueva y segura )ya sea otra aplicación de cartera, una cartera hardware, o una cuenta nueva con una frase de recuperación recién generada(.

4. Transfiere todos los fondos a una nueva dirección de cartera tan pronto como sea posible de forma segura. Cualquier criptomoneda restante en carteras previamente accedidas con la versión comprometida 2.68 debe considerarse en riesgo.

La vulnerabilidad del código del hacker afecta a todos los usuarios que tenían instalada la versión 2.68, independientemente de si usaron activamente la extensión; la carga útil maliciosa se ejecuta automáticamente al desbloquear la cartera.

Por qué Este Es un Riesgo de Código de Hacker a Nivel APT

Los analistas de seguridad califican este ataque como una Amenaza Persistente Avanzada )APT por varias razones contundentes. Primero, el alcance y la coordinación sugieren actores de amenaza profesionales, no hackers oportunistas. Segundo, el acceso aparente del atacante a los sistemas de desarrollo o despliegue de Trust Wallet indica una compromisión dirigida de la infraestructura, no solo de la aplicación de cartera pública.

La precisión del código del hacker—su capacidad para dirigirse a mecanismos específicos de desbloqueo de carteras, descifrar frases seguras y exfiltrar datos mediante solicitudes analíticas con apariencia legítima—demuestra capacidades técnicas avanzadas. La brecha de un mes entre el registro del dominio y la detección del ataque sugiere una planificación y reconocimiento cuidadosos.

Este incidente sirve como un recordatorio contundente de que incluso proyectos establecidos y bien financiados pueden ser víctimas de ataques sofisticados en la cadena de suministro. El código del hacker fue posicionado no como una amenaza externa, sino como parte de la propia aplicación legítima, dificultando enormemente su detección para los usuarios finales hasta que los investigadores de seguridad alertaron sobre la anomalía.

Recordatorio crítico: Los usuarios deben asumir que cualquier criptomoneda almacenada en carteras previamente conectadas a Trust Wallet versión 2.68 está ahora en riesgo, y es imprescindible migrar inmediatamente a alternativas seguras.