O serviço de carteiras de criptomoedas Trust Wallet informou que uma versão comprometida de sua extensão de navegador foi usada para roubar cerca de US$ 8,5 milhões em criptomoedas das carteiras dos usuários. A empresa afirmou que o incidente estava ligado a um ataque mais amplo na cadeia de suprimentos de software conhecido como Sha1-Hulud.
Segundo a Trust Wallet, o incidente ocorreu no final de 2025, após uma versão maliciosa de sua extensão de navegador ser enviada para a Chrome Web Store. A extensão alterada foi publicada usando credenciais de desenvolvedor vazadas, o que permitiu ao atacante burlar as verificações padrão de segurança e distribuir a versão comprometida aos usuários.
A empresa afirmou que o atacante incorporou código malicioso externo na extensão. Uma vez instalada ou atualizada, a extensão comprometida conseguia acessar informações sensíveis da carteira e iniciar transações não autorizadas. A Trust Wallet afirmou que isso resultou na retirada de criptomoedas das carteiras afetadas sem aprovação dos usuários.
A Trust Wallet afirmou ter identificado mais de 2.500 endereços de carteira que foram afetados pelo roubo. Os fundos roubados foram rastreados até uma atividade que ocorreu logo após os usuários instalarem ou atualizaram para a versão maliciosa da extensão.
A empresa relacionou o compromisso ao incidente Sha1-Hulud, um ataque à cadeia de suprimentos que envolveu a exposição de segredos de desenvolvedores e o uso indevido de ferramentas legítimas de publicação de software. A Trust Wallet afirmou que as credenciais vazadas foram usadas para assinar e enviar a extensão maliciosa, fazendo-a parecer legítima para usuários e sistemas de segurança do navegador.
Após identificar o problema, a Trust Wallet disse que revogou as credenciais comprometidas e removeu a versão da extensão maliciosa. A empresa reverteu a extensão para uma versão segura e disse que trabalhou com provedores de plataforma para evitar novas atualizações não autorizadas.
A Trust Wallet aconselhou os usuários a garantir que estão executando a versão mais recente da extensão e afirmou que está revisando seus processos internos para reduzir o risco de incidentes semelhantes. A empresa afirmou que continua investigando o impacto do comprometimento e monitorando possíveis atividades maliciosas relacionadas.
O incidente destaca os riscos apresentados pelos ataques à cadeia de suprimentos, onde os atacantes miram sistemas de desenvolvimento e distribuição em vez de usuários finais. A Trust Wallet afirmou que o roubo não envolveu uma falha no software principal da carteira, mas resultou de mudanças não autorizadas feitas durante o processo de publicação da extensão.