3 millones de dólares en cuestión de horas: detectan una puerta trasera en Trust Wallet que roba las frases semilla
Una sola actualización acabó convirtiéndose en una trampa para los inversores en criptomonedas.
En la extensión de navegador Trust Wallet se encontró una vulnerabilidad peligrosa que pudo permitir el robo de criptomonedas a usuarios. El problema afectó a la versión 2.68, y el equipo de la cartera pidió oficialmente a todos los que la instalaron que desactivaran inmediatamente la extensión y actualizaran a la 2.69.
Las primeras denuncias las reportó el investigador ZachXBT. Publicó un mensaje indicando que «varios usuarios de Trust Wallet informaron sobre el robo de fondos de sus monederos en las últimas horas». Casi de inmediato Trust Wallet confirmó el riesgo en la versión 2.68 para navegadores y emitió la recomendación de pasar a una compilación corregida.
El análisis del incidente publicó la empresa SlowMist, que se especializa en la seguridad de proyectos blockchain. Los investigadores compararon el código de las versiones 2.67 y 2.68 y encontraron una inserción similar a una puerta trasera. Según su descripción, el fragmento malicioso recorría los monederos guardados en la extensión y solicitaba la frase semilla de cada uno. A continuación se usaba la contraseña que el usuario introduce al desbloquear, o la alternativa de desbloqueo mediante passkeyPassword, para descifrar los datos y prepararlos para enviarlos a los atacantes.
La infraestructura de dominios de los atacantes resultó clave. SlowMist escribe que las frases semilla y otros datos sensibles se enviaban a api.metrics-trustwallet[.]com, vinculado al dominio metrics-trustwallet.com. Según los investigadores, el dominio se registró el 8 de diciembre de 2025, y las primeras solicitudes hacia él comenzaron a registrarse desde el 21 de diciembre. Estas fechas coinciden con el supuesto periodo de introducción del código malicioso en la extensión.
En el análisis dinámico los especialistas señalaron una táctica astuta. Tras el desbloqueo del monedero, la frase semilla quedaba en el campo errorMessage, es decir, en datos que parecen un error técnico. Luego ese bloque se enviaba al servidor de los atacantes como parte de una petición de red normal. También SlowMist señala que los atacantes usaron la biblioteca analítica legítima PostHog, pero redirigieron el tráfico analítico a su propio servidor para disfrazar la fuga como telemetría habitual.
Según la estimación de SlowMist al momento de la publicación, las pérdidas totales podrían ascender a millones de dólares. Como referencias se citan alrededor de 33 BTC, que equivalen aproximadamente a 3 millones de dólares, así como cerca de 3 millones de dólares en redes Ethereum, incluyendo soluciones de segunda capa. En la red Solana la suma es notablemente menor, hablamos de cientos de dólares. Tras el robo, según la investigación, los fondos se transfirieron a través de varios intercambios centralizados y puentes entre cadenas.
Se destaca por separado que esto no parece una dependencia de terceros infectada, como un paquete npm malicioso, sino una intervención directa en el propio código de la extensión. De ello SlowMist concluye que el ataque pudo haber sido preparado por profesionales, y que se pudo haber obtenido acceso al entorno de desarrollo o al proceso de publicación de la extensión con antelación.
A los usuarios que instalaron la extensión Trust Wallet, los investigadores les aconsejan actuar con la máxima precaución. Conviene dejar de usar la extensión, guardar la frase semilla o la clave privada solo de forma segura y transferir los fondos lo antes posible a otro monedero en el que confíen. Si sospecha una compromisión, es preferible realizar cualquier acción en el dispositivo infectado con prudencia para no empeorar la situación.