Ataque à extensão da Trust Wallet no Chrome causa prejuízo de US$ 8,5 mi

Tipo principal do conteúdo: Cibersegurança

A Trust Wallet revelou que uma falha de segurança em sua extensão para o Google Chrome resultou no roubo de cerca de US$ 8,5 milhões em ativos digitais. O incidente foi atribuído à segunda onda do ataque à cadeia de suprimentos conhecido como Shai-Hulud, ocorrido em novembro de 2025. Os invasores conseguiram acesso a segredos de desenvolvedores no GitHub, incluindo o código-fonte da extensão e a chave da API do Chrome Web Store, permitindo a publicação de versões maliciosas sem o processo padrão de revisão interna.

Com o controle da chave da API, os atacantes registraram um domínio falso e distribuíram uma versão trojanizada da extensão, equipada com um backdoor capaz de capturar frases mnemônicas das carteiras dos usuários. Essa versão adulterada foi disponibilizada na loja de extensões do Chrome, levando ao comprometimento de 2.520 endereços de carteiras e ao desvio dos fundos para 17 carteiras controladas pelos criminosos.

O ataque Shai-Hulud destaca a sofisticação dos métodos de comprometimento da cadeia de suprimentos, utilizando dependências de software amplamente confiáveis para infiltrar código malicioso. A versão mais recente da ameaça, Shai-Hulud 3.0, apresenta melhorias em ofuscação, tratamento de erros e compatibilidade com Windows, visando aumentar a persistência e dificultar a detecção, sem recorrer a técnicas inéditas de exploração.

Como resposta, a Trust Wallet implementou novos controles e mecanismos de monitoramento em seus processos de liberação de software. A empresa também iniciou um processo de reembolso para as vítimas afetadas, reforçando a importância de práticas rigorosas de segurança no desenvolvimento e distribuição de aplicações críticas, especialmente no setor de criptomoedas.