Un aggiornamento malevolo all'estensione Chrome di Trust Wallet ha portato al furto di milioni di dollari dagli utenti, sollevando gravi preoccupazioni riguardo ai portafogli basati su browser.
Cosa è realmente successo
Il 24 dicembre, Trust Wallet ha rilasciato la versione 2.68 della sua estensione Chrome. Senza che gli utenti lo sapessero, questo aggiornamento conteneva codice malevolo nascosto, mascherato come una funzione di analisi di routine.
Quando gli utenti aprivano i loro portafogli o importavano frasi seed, lo script malevolo catturava silenziosamente dati sensibili e li inviava a un dominio falso — metrics-trustwallet.com — che era stato registrato solo pochi giorni prima dell'attacco.
Con l'accesso alle frasi seed, gli attaccanti non avevano bisogno di approvazioni per le transazioni. Hanno semplicemente ripristinato i portafogli altrove e li hanno svuotati completamente.
Impatto finora
🔹 Oltre 7 milioni di dollari rubati
🔹 Centinaia di portafogli compromessi
🔹 Attività drenate attraverso Bitcoin, Ethereum, Solana e BNB Chain
🔹 Alcuni utenti hanno perso importi a sei cifre in pochi minuti
🔹 Fondi instradati attraverso servizi come ChangeNOW, FixedFloat, KuCoin e HTX
CZ Risponde
Il fondatore di Binance Changpeng Zhao (CZ) ha confermato che tutti gli utenti colpiti saranno rimborsati completamente:
“Finora, circa 7 milioni di dollari sono stati colpiti. Trust Wallet coprirà le perdite. I fondi degli utenti sono SAFU.”
CZ ha anche dichiarato che il team sta attivamente indagando su come l'aggiornamento malevolo sia stato approvato, suggerendo che un compromesso interno o un accesso da insider possa aver giocato un ruolo.
Cosa dovresti fare subito
→ Se utilizzi l'estensione Trust Wallet per Chrome, controlla immediatamente la tua versione
→ NON utilizzare la versione 2.68
→ Aggiorna alla versione 2.69 solo dal Chrome Web Store ufficiale
→ Se hai utilizzato la v2.68 e hai inserito la tua frase seed, sposta immediatamente i tuoi fondi in un nuovo portafoglio
Pensieri finali
Questo incidente evidenzia i rischi unici dei portafogli basati su browser. A differenza degli exploit dei contratti smart, gli attacchi a livello di portafoglio danno agli hacker il controllo diretto sulle chiavi private — nessuna approvazione richiesta.
Nel 2025, solo gli hack legati alle criptovalute hanno già superato i 3,4 miliardi di dollari in perdite.
Resta all'erta. Controlla ogni aggiornamento.
Non condividere mai la tua frase seed.