Hackeo a Trust Wallet afectó a cientos de usuarios en Chrome

Una falla de seguridad en extensión de navegador Trust Wallet permitió el robo de aproximadamente 7 millones de dólares en activos digitales, confirmó la compañía el 26 de diciembre de 2025. El incidente afectó específicamente a la versión 2.68 de su extensión para Google Chrome, y se atribuye a un código malicioso incorporado directamente en el código base de la aplicación.

La extensión comprometida, con alrededor de un millón de usuarios, fue sustituida rápidamente por la versión 2.69. Trust Wallet instó a los usuarios a actualizar inmediatamente para evitar nuevas afectaciones. "Hemos confirmado que aproximadamente $7 millones se han visto afectados y nos aseguraremos de que todos los usuarios afectados reciban el reembolso", declaró la empresa en una publicación en X.

El análisis técnico compartido por SlowMist reveló que el código malicioso accedió a las frases mnemotécnicas de las billeteras almacenadas tras descifrarlas mediante las contraseñas introducidas por los usuarios. Esta información fue enviada a un servidor externo bajo el dominio "api.metrics-trustwallet[.]com", registrado el 8 de diciembre de 2025. La primera actividad maliciosa se registró el 21 de diciembre del mismo año.

Entre los fondos robados se contabilizan aproximadamente 3 millones de dólares en bitcoin, 431 dólares en Solana y más de 3 millones de dólares en Ethereum. Según el investigador blockchain ZachXBT, el incidente ha afectado a cientos de usuarios. La empresa de análisis PeckShield informó que más de 4 millones de dólares fueron canalizados a intercambios como ChangeNOW, FixedFloat y KuCoin.

Dicha causa del incidente fue una modificación intencionada en el código de la extensión, sin vínculo con bibliotecas externas comprometidas. El atacante utilizó PostHog, una herramienta legítima de análisis, para extraer datos sensibles y redirigirlos a un servidor controlado. SlowMist no descartó participación de un actor estatal, mientras que la directora ejecutiva de Trust Wallet, Eowyn Chen, confirmó que la extensión maliciosa no fue lanzada a través del proceso interno habitual.

"El hacker usó una clave API filtrada de Chrome Web Store para enviar la extensión maliciosa versión v2.68", explicó Chen. La extensión fue publicada el 24 de diciembre de 2025 a las 12:32 p. m. UTC y se mantuvo activa hasta su detección. Trust Wallet desactivó el dominio involucrado, invalidó las claves API de lanzamiento y comenzó a procesar los reembolsos.

Como medida adicional, la empresa solicitó a los usuarios afectados llenar un formulario en su servicio de soporte oficial. También advirtió sobre intentos de estafa que suplantan sus canales de comunicación. Chen reiteró que solo quienes iniciaron sesión en la versión 2.68 antes del 26 de diciembre a las 11:00 a. m. UTC podrían haber sido vulnerados.