Você se lembra da última vez que baixou uma atualização sem prestar atenção? Para os usuários do Trust Wallet, a noite de Natal de 2025 ficará gravada na memória por essa razão. O que realmente aconteceu, e como uma simples atualização pôde levar ao roubo de milhões de dólares em criptomoedas?
As 3 informações que você não pode perder
- Uma atualização maliciosa permitiu roubar mais de 8 milhões de dólares de 2.520 carteiras Trust Wallet.
- O hack explorou uma falha na cadeia de suprimentos da empresa, conhecida como Sha1-Hulud.
- Trust Wallet iniciou um processo de reembolso para os usuários afetados.
O ciberataque de Natal
A noite de 24 de dezembro de 2025 marcou o início de um episódio tumultuado para os usuários do Trust Wallet. Uma atualização aparentemente inofensiva, a versão 2.68.0, foi baixada por milhares de usuários. No entanto, ela continha uma linha de código malicioso que levou à exfiltração de dados sensíveis para um servidor externo. Este ataque permitiu o desvio de mais de 8 milhões de dólares distribuídos em 2.520 carteiras.
Técnica do ataque e exploração
Os hackers conseguiram esse feito conduzindo um ataque à cadeia de suprimentos, chamado Sha1-Hulud, que começou em novembro de 2025. Usando pacotes npm comprometidos, eles acessaram o código-fonte da extensão de navegador do Trust Wallet e sua chave API da Chrome Web Store. Com essas informações, puderam publicar diretamente uma versão modificada da extensão na loja, contornando os processos de validação habituais.
Reações e medidas de segurança
Diante dessa situação crítica, o Trust Wallet reagiu rapidamente. Já em 25 de dezembro, a empresa publicou uma atualização segura sob o número 2.69.0 e pediu aos usuários que a instalassem com urgência. Paralelamente, uma equipe de pesquisadores white hat foi mobilizada para neutralizar o servidor malicioso. Ataques DDoS foram realizados contra o domínio metrics-trustwallet.com para limitar o impacto do ataque.
Processo de reembolso e lições aprendidas
Para compensar as perdas, o Trust Wallet implementou um processo de reembolso para os usuários afetados. Esta tarefa é complexa, pois requer identificar precisamente cada vítima e o valor perdido, enquanto filtra as reivindicações falsas. Este caso destaca a importância da segurança das cadeias de suprimentos no desenvolvimento de software, bem como a necessidade de maior vigilância ao publicar atualizações.
Contexto do Trust Wallet
O Trust Wallet é uma empresa renomada no campo das carteiras de criptomoedas, oferecendo soluções seguras para gerenciar várias moedas digitais. Fundada em 2017, a empresa rapidamente ganhou popularidade graças à sua facilidade de uso e recursos avançados. No entanto, este incidente destaca os crescentes desafios enfrentados pelas empresas deste setor em termos de segurança e proteção de dados.
