Trust Wallet divulga vulnerabilidade e recomenda atualização após usuários perderem mais de R$ 33 milhões

Carteira afirma ter mais de 200 milhões de usuários. Imagem: Trust Wallet/Reprodução.

A Trust Wallet, uma das carteiras de Bitcoin e outras criptomoedas mais famosas do mercado, confirmou nesta quinta-feira (25) que uma versão de sua carteira de extensão de navegador foi comprometida.

Uma estimativa feita pelo investigador ZachXBT aponta que as perdas ultrapassam a faixa de US$ 6 milhões (R$ 33 milhões).

Conforme a Trust Wallet pertencia à Binance, Changpeng Zhao afirmou que a carteira cobrirá as perdas dos investidores afetados.

Usuários da Trust Wallet perdem milhões com vulnerabilidade na carteira

Os primeiros relatos que as carteiras de usuários da Trust Wallet estavam sendo esvaziadas começaram na tarde desta quinta-feira (25) de natal. Uma apuração inicial feita por ZachXBT suspeitava que isso tinha ligação com uma recente atualização da carteira.

“Alerta à comunidade: vários usuários da Trust Wallet relataram que fundos foram drenados de endereços de carteira nas últimas horas”, escreveu Zach.

“Embora a causa raiz exata ainda não tenha sido determinada, coincidentemente a extensão da Trust Wallet para Chrome lançou uma nova atualização ontem.”

Poucas horas depois, a própria Trust Wallet reconheceu o incidente e postou uma série de recomendações.

Desenvolvedores recomendam atualização, mas sem abrir a carteira

Na nota oficial, a Trust Wallet afirmou que o problema de segurança está ligado à versão 2.68 da sua carteira de extensão de navegador. Ou seja, usuários do aplicativo para celular e de outras versões da extensão não foram afetados.

“Para os usuários que ainda não atualizaram para a versão 2.69 da extensão, por favor não abram a extensão do navegador até que tenham atualizado.”

Na sequência, os desenvolvedores publicaram um guia com seis passos sobre o que usuários devem fazer.

• “Passo 1: NÃO abra a extensão de navegador da Trust Wallet no seu dispositivo desktop para garantir a segurança da sua carteira e evitar novos problemas.
• Passo 2: Vá ao painel de Extensões do Chrome no seu navegador Chrome copiando o seguinte para a barra de endereços (atalho para a extensão oficial da Trust Wallet): chrome://extensions/?id=egjidjbpglichdcondbcbdnbeeppgdph
• Passo 3: Desative o botão abaixo da Trust Wallet, caso ainda esteja ativado.
• Passo 4: Clique em “Modo do desenvolvedor” no canto superior direito.
• Passo 5: Clique em “Atualizar” no canto superior esquerdo.
• Passo 6: Verifique o número da versão: 2.69. Esta é a versão mais recente e segura.”

Fundador da Binance afirma que Trust Wallet cobrirá as perdas

Segundo atualização de ZachXBT, as perdas ultrapassam a faixa de US$ 6 milhões (R$ 33 milhões). Tentando acalmar a comunidade, Changpeng Zhao, fundador da Binance, afirmou que a Trust Wallet cobrirá todas as perdas.

“Até agora, US$ 7 milhões foram afetados por este hack”, iniciou CZ. “A @TrustWallet irá cobrir. Os fundos dos usuários estão seguros. Agradecemos a compreensão por quaisquer inconvenientes causados.”

“A equipe ainda está investigando como os hackers conseguiram submeter uma nova versão.”

Investigações feitas pela própria comunidade revelam que o código malicioso estava em um arquivo chamado “4482.js”.

O código se passava por um serviço de análise, mas, na verdade, enviava frases sementes importadas na carteira para o domínio metrics-trustwallet[.]com, que não pertence à Trust Wallet.

Respondendo comentários de seus seguidores, CZ comentou que “provavelmente” o ataque partiu de alguém infiltrado na equipe de desenvolvedores.