Cosa è successo e cosa fare subito
Se usi Trust Wallet su Chrome, agisci immediatamente per proteggere i tuoi fondi. Fine dicembre 2025, un aggiornamento compromesso dell’estensione Chrome ha esposto gli utenti al furto di criptovalute. La versione 2.68 conteneva codice malevolo che catturava le frasi di recupero (seed phrase) e le inviava agli hacker, permettendo di svuotare i portafogli senza ulteriori autorizzazioni.
Danni subiti: Oltre 7 milioni di dollari in Bitcoin, Ethereum, Solana e BNB Chain sono stati rubati. Solo gli utenti desktop Chrome che si sono loggati prima del 26 dicembre 2025 alle 11:00 UTC sono stati colpiti. Alcuni hanno perso cifre a sei zeri in pochi minuti.
Azioni immediate:
– Controlla la versione della tua estensione Trust Wallet su Chrome.
– Evita assolutamente la versione 2.68.
– Aggiorna alla 2.69 solo dal Chrome Web Store ufficiale.
– Se hai usato la 2.68 e inserito la seed phrase, trasferisci i fondi in un nuovo portafoglio subito.
– Non condividere mai la tua frase di recupero.
Come ha funzionato l’attacco
Il 24 dicembre 2025 alle 12:32 UTC, la versione 2.68 è stata pubblicata sul Chrome Web Store. Il codice malevolo era camuffato come modulo di analisi all’interno del codice dell’estensione.
Quando gli utenti aprivano il portafoglio o importavano seed phrase, il codice catturava silenziosamente questi dati sensibili e li trasmetteva a un dominio falso, metrics-trustwallet.com, registrato pochi giorni prima. A differenza degli exploit su smart contract, questo attacco dava accesso diretto alle chiavi private. Gli hacker ricreavano i portafogli sui loro dispositivi e trasferivano i fondi su exchange come ChangeNOW, FixedFloat, KuCoin e HTX.
Come è stato possibile
L’indagine ha rivelato che l’estensione malevola non è passata attraverso i processi interni standard di Trust Wallet. Gli attaccanti hanno usato una chiave API leaked del Chrome Web Store per bypassare i controlli di sicurezza e caricare direttamente la versione compromessa.
Il codice è stato iniettato nel codice sorgente di Trust Wallet, sfruttando la libreria di analisi PostHog legittima per esfiltrare i dati, reindirizzando il traffico verso un server controllato dagli hacker.
Le misure di Trust Wallet
Trust Wallet ha confermato il rimborso completo per gli utenti colpiti. Hanno:
– Sospeso il dominio malevolo.
– Annullato tutte le API di rilascio per prevenire ulteriori upload non autorizzati.
– Identificato 2.596 indirizzi di portafogli colpiti.
– Avviato i rimborsi con verifica rigorosa.
Circa 5.000 richieste di rimborso sono state ricevute, ma molte sono duplicate o fraudolente. La verifica usa più punti dati per garantire che i fondi tornino ai legittimi proprietari.
Come proteggerti da attacchi simili
Questo episodio sottolinea i rischi dei portafogli basati su browser. Per salvaguardare le tue criptovalute:
– Usa solo canali ufficiali di Trust Wallet.
– Diffida di pubblicità su Telegram, moduli di compensazione falsi e account di supporto impersonati.
– Attiva lo Security Scanner di Trust Wallet prima delle transazioni.
– Abilita l’autenticazione a due fattori (2FA) su tutti gli account crypto.
– Non condividere mai la seed phrase, nemmeno con prompt ufficiali.
– Attenzione ai falsi avvisi di sicurezza che chiedono di verificare il portafoglio.
Approfondimento tecnico
Per utenti con competenze tecniche, ecco i dettagli del breach:
Vettore di attacco: Gli hacker hanno ottenuto una chiave API leaked del Chrome Web Store, bypassando completamente il processo di rilascio interno di Trust Wallet. Questo indica un possibile sistema interno compromesso o minaccia interna.
Metodo di iniezione codice: Non si è trattato di una dipendenza terza compromessa, ma di una modifica diretta al codice sorgente dell’estensione. Il codice malevolo era incorporato nella sezione logica di analisi.
Canale di esfiltrazione dati: Sfruttato PostHog, libreria analytics già integrata. Il traffico analytics legittimo è stato reindirizzato verso un server hacker, mimetizzando l’esfiltrazione in pattern normali.
Dominio falso: metrics-trustwallet.com registrato giorni prima, imitando la struttura del dominio ufficiale per eludere rilevamenti.
Versione colpita: Solo la 2.68 del Chrome extension. Patched nella 2.69: aggiorna subito.
Portata: 2.596 portafogli identificati, loggati tra 24-26 dicembre 2025 fino alle 11:00 UTC.
Onda secondaria: Seguita da scam coordinati su Telegram con pubblicità false, account fake e DM per raccogliere dati extra.
Note aggiuntive: Ricercatori come SlowMist hanno notato che gli attaccanti conoscevano il codice sorgente, facilitando preparazione avanzata. Fondi launderizzati via exchange e bridge, possibile vendita dati dark web a 100$ per record. Parallele campagne phishing su siti come fix-trustwallet.com chiedevano seed phrase.
Questo incidente richiama l’importanza di aggiornamenti sicuri e verifica costante. Mantieniti informato per navigare il panorama crypto 2025 con sicurezza.
