O período festivo trouxe um presente envenenado para milhares de investidores de criptomoedas. A Trust Wallet, uma das carteiras digitais mais populares do mercado, confirmou que uma falha de segurança crítica na sua extensão para browser resultou no roubo de aproximadamente 7 milhões de dólares (cerca de 6,7 milhões de euros). O incidente, que ocorreu na véspera de Natal, afetou cerca de 3.000 carteiras e obrigou a empresa a agir rapidamente para conter os danos e prometer o reembolso às vítimas.
Um Natal amargo para os investidores
O ataque teve origem numa versão comprometida da extensão da Trust Wallet para o Google Chrome (versão 2.68.0). Segundo a investigação preliminar, os atacantes conseguiram injetar um ficheiro JavaScript malicioso que exfiltrava dados sensíveis das carteiras, permitindo o esvaziamento dos fundos dos utilizadores. A empresa aconselhou imediatamente a atualização para a versão 2.69 para bloquear novas tentativas de furto.
A gravidade da situação foi explicada pela CEO da empresa, Eowyn Chen. Segundo a responsável, a versão maliciosa não passou pelo processo manual interno da empresa. A hipótese atual sugere que os hackers utilizaram uma chave de API da Chrome Web Store que foi divulgada, submetendo a versão fraudulenta que passou na revisão da Google e foi lançada a 24 de dezembro de 2025. Eowyn Chen detalhou na rede social X que, em resposta, a empresa expirou todas as chaves de API de lançamento e reportou o domínio malicioso, que foi prontamente suspenso.
Este incidente surge num ano onde o cibercrime bate recordes, com grandes volumes de criptomoedas a serem alvo de ataques sofisticados.
O processo de reembolso e novos alertas
A Trust Wallet já iniciou o processo de compensação, mas enfrenta desafios logísticos. Até ao momento, foram identificados 2.596 endereços de carteiras afetados. No entanto, a empresa recebeu cerca de 5.000 reclamações, o que indica um número elevado de submissões falsas ou duplicadas. Conforme explicou a CEO, a equipa está a trabalhar diligentemente para verificar a propriedade das carteiras e garantir que os fundos são devolvidos às vítimas legítimas.
Para complicar ainda mais o cenário, os atacantes não se ficaram pelo roubo inicial. Aproveitando o pânico gerado, lançaram campanhas de phishing através de sites falsos e anúncios no Telegram, fazendo-se passar pelo suporte da Trust Wallet para roubar as frases de recuperação (seed phrases) dos utilizadores sob o pretexto de uma "atualização de segurança".
A Trust Wallet emitiu um aviso oficial reforçando que os utilizadores nunca devem partilhar as suas chaves privadas ou frases de recuperação e devem utilizar apenas os canais oficiais para submeter os pedidos de reembolso.
Aplicações TugaTech
Discord do TugaTech
RSS do TugaTech
Speedtest Tugatech
Host TugaTech