A Brecha de Código do Hacker da Trust Wallet: $6M em Criptomoedas Roubadas Através de Extensão Maliciosa

Um ataque sofisticado direcionado aos utilizadores do Trust Wallet resultou no roubo de mais de $6 milhões em ativos digitais, expondo uma das vulnerabilidades de segurança mais graves no espaço das carteiras de criptomoedas. O ataque envolveu código de hackers embutido diretamente no código fonte da extensão do navegador — uma evolução que os investigadores de segurança classificam como uma operação de Ameaça Persistente Avançada (APT).

Como o Código do Hacker Exploitou os Utilizadores do Trust Wallet

Em 8 de dezembro de 2025, os atacantes registaram o domínio malicioso metrics-trustwallet.com. Duas semanas depois, a 21-22 de dezembro, investigadores de segurança detectaram as primeiras tentativas de exfiltração de dados. O código do hacker operava através de um mecanismo aparentemente simples, mas eficaz: quando os utilizadores desbloqueavam a extensão do Trust Wallet (versão 2.68), o código malicioso interceptava as suas frases de semente encriptadas.

A vulnerabilidade não foi introduzida por uma biblioteca ou dependência de terceiros comprometida — pelo contrário, os atacantes injetaram diretamente código malicioso na base de código interna do Trust Wallet. Esta distinção é fundamental: sugere que os atores de ameaça tiveram acesso à infraestrutura de desenvolvimento ou aos sistemas de implantação do Trust Wallet semanas antes do ataque se tornar público.

A metodologia do ataque baseou-se no roubo de frases mnemónicas encriptadas dos utilizadores, aproveitando as palavras-passe ou chaves de acesso que inseriram ao desbloquear as suas carteiras. O código do hacker então descriptografava essas frases e transmitia-as para o servidor de comando e controlo do atacante (api.metrics-trustwallet[.]com), dando aos hackers controlo total sobre as carteiras comprometidas.

Dentro do Ataque: Análise Técnica do Código Malicioso do Hacker

Investigadores de segurança da SlowMist realizaram uma análise detalhada comparando a versão 2.67 e a versão 2.68 da extensão Trust Wallet. As conclusões revelaram exatamente como o código do hacker funcionava ao nível da aplicação.

O payload malicioso percorria todas as carteiras armazenadas na extensão e enviava pedidos para extrair a frase mnemónica encriptada do utilizador. Uma vez obtida, o código descriptografava a frase usando as credenciais de autenticação inseridas pelo utilizador ao desbloquear a carteira. Se a descriptografia fosse bem-sucedida — o que aconteceria com todos os utilizadores legítimos — a frase mnemónica exposta era automaticamente enviada para o servidor do atacante.

A sofisticação deste código do hacker sugere um desenvolvimento de nível profissional. Os atacantes utilizaram a biblioteca de análise legítima PostHogJS como disfarce, redirecionando dados analíticos legítimos para a sua infraestrutura maliciosa. Esta técnica permitiu que o código do hacker se misturasse com operações normais da carteira, evitando detecção imediata.

A análise dinâmica do ataque revelou que, uma vez descriptografados, os dados da frase mnemónica eram incorporados no campo de mensagem de erro das requisições de rede — uma técnica de ofuscação inteligente que permitia que as credenciais roubadas atravessassem o tráfego de rede sem levantar suspeitas imediatas. A análise de tráfego com BurpSuite confirmou que as frases de recuperação roubadas eram consistentemente embaladas no campo errorMessage antes da transmissão para o servidor do atacante.

Rastreando os Ativos Roubados e a Infraestrutura do Atacante

De acordo com dados divulgados pelo investigador de segurança zachxbt, o roubo resultou em perdas substanciais em várias blockchains:

• Blockchain Bitcoin: Aproximadamente 33 BTC roubados, avaliados em cerca de $2.96 milhões (a taxas atuais de $89.57K por BTC em janeiro de 2026)
• Ethereum e redes Layer 2: Cerca de $3 milhões em perdas combinadas
• Blockchain Solana: Aproximadamente $431 roubados
• Outras redes: Perdas adicionais de vários ecossistemas blockchain

A análise pós-roubo mostra que os atacantes começaram imediatamente a mover e trocar os ativos roubados através de pontes descentralizadas e várias exchanges centralizadas, provavelmente tentando obscurecer a origem dos fundos e dificultar os esforços de recuperação.

O domínio malicioso foi registado a 8 de dezembro de 2025, às 02:28:18 UTC, através do registo NICENIC INTERNATIONA. O timing entre o registo do domínio e as primeiras tentativas de exfiltração de dados sugere fortemente que se tratou de uma operação cuidadosamente coordenada — o código do hacker não foi implementado de forma precipitada, mas sim como parte de uma campanha bem planeada.

Ações Imediatas: Proteja a Sua Carteira de Ataques Baseados em Código Semelhante

A equipa de desenvolvimento do Trust Wallet confirmou a vulnerabilidade na versão 2.68 e lançou um aviso de segurança urgente. A resposta oficial incluiu estas diretivas críticas:

Se utiliza a extensão do Trust Wallet no navegador:

1. Desconecte-se da internet imediatamente — esta deve ser a sua primeira ação antes de qualquer procedimento de resolução de problemas. Manter-se conectado enquanto a sua carteira está potencialmente comprometida aumenta o risco de perda total dos ativos.

2. Exporte as suas chaves privadas ou frases mnemónicas offline, e desinstale imediatamente a extensão do Trust Wallet. Não reative a versão 2.68 sob nenhuma circunstância.

3. Atualize para a versão 2.69 apenas após transferir os seus fundos para uma carteira nova e segura (quer seja uma aplicação de carteira diferente, uma carteira de hardware, ou uma conta nova com uma frase de recuperação recém-gerada).

4. Transfira todos os fundos para um novo endereço de carteira assim que for seguro fazê-lo. Qualquer criptomoeda restante em carteiras anteriormente acessadas através da versão comprometida 2.68 deve ser considerada em risco.

A vulnerabilidade do código do hacker afeta todos os utilizadores que tinham a versão 2.68 instalada, independentemente de utilizarem ativamente a extensão — o payload malicioso executa-se automaticamente ao desbloquear a carteira.

Porque Este Foi um Ameaça de Código de Hacker de Nível APT

Analistas de segurança classificam este ataque como uma ameaça persistente avançada (APT) por várias razões convincentes. Primeiro, o escopo e a coordenação sugerem atores de ameaça profissionais, não hackers oportunistas. Segundo, o acesso aparente do atacante aos sistemas de desenvolvimento ou implantação do Trust Wallet indica uma compromissão direcionada da infraestrutura, não apenas da aplicação de carteira pública.

A precisão do código do hacker — sua capacidade de direcionar mecanismos específicos de desbloqueio de carteiras, descriptografar frases seguras e exfiltrar dados através de requisições analíticas com aparência legítima — demonstra capacidades técnicas avançadas. A lacuna de um mês entre o registo do domínio e a deteção do ataque sugere um planeamento cuidadoso e reconhecimento prévio.

Este incidente serve como um lembrete claro de que até projetos bem estabelecidos e com recursos podem ser vítimas de ataques sofisticados à cadeia de fornecimento. O código do hacker foi posicionado não como uma ameaça externa, mas como parte da própria aplicação legítima, dificultando a deteção pelos utilizadores finais até que investigadores de segurança identificassem a anomalia.

Lembrete crítico: Os utilizadores devem assumir que qualquer criptomoeda armazenada em carteiras anteriormente conectadas ao Trust Wallet na versão 2.68 está agora em risco, e a migração imediata para alternativas seguras é essencial.