El reciente hack de la extensión de Trust Wallet para Chrome, que permitió el robo aproximado de 7 millones de dólares en criptomonedas, se ha convertido en un caso de referencia sobre el impacto real de un ataque a la cadena de suministro de software (supply chain attack) en el ecosistema cripto. El incidente combina manipulación de código, abuso de canales de distribución oficiales y campañas de phishing coordinadas, reproduciendo patrones ya observados en ataques de alto perfil como SolarWinds o el compromiso de componentes de Ledger.
Cronología del hack a la extensión de Trust Wallet para Chrome
Las primeras señales de alarma aparecieron tras la instalación de la versión 2.68 de la extensión Trust Wallet para Chrome, publicada el 24 de diciembre de 2025. Después de actualizar, numerosos usuarios empezaron a detectar movimientos no autorizados de fondos hacia direcciones desconocidas. Poco después, Trust Wallet liberó la versión «limpia» 2.69 y recomendó actualizar de inmediato.
El fundador de Binance y propietario de Trust Wallet, Changpeng Zhao, confirmó públicamente la sustracción de alrededor de 7 millones de dólares en criptoactivos y se comprometió a compensar las pérdidas de los usuarios afectados, un enfoque que ya han adoptado otros proveedores tras incidentes similares en el sector DeFi y de wallets.
Detalles técnicos del ataque a la cadena de suministro
Según análisis de la firma de seguridad SlowMist, la intrusión no se produjo mediante librerías externas comprometidas, sino a través de la modificación directa del código fuente de la extensión. El fragmento malicioso recorrió todos los monederos gestionados por la extensión, solicitó los datos cifrados, descifró las seed phrases usando la contraseña del usuario y las envió a servidores controlados por los atacantes.
Uso abusivo de PostHog y dominios fraudulentos
Para exfiltrar la información se reutilizó la biblioteca analítica legítima PostHog, pero el tráfico no se dirigió a su infraestructura oficial, sino a un dominio fraudulento: api.metrics-trustwallet[.]com. Este dominio se registró el 8 de diciembre y empezó a recibir tráfico el 21 de diciembre, lo que revela una planificación anticipada y una infraestructura preparada antes de publicar la versión maliciosa.
El uso de herramientas legítimas, cifrado HTTPS y dominios que imitan a los oficiales es una táctica habitual en supply chain attacks: la fuga de datos se «camufla» como telemetría normal, dificultando la detección tanto en el lado del desarrollador como del usuario. Casos como CCleaner o el ataque a Ledger Connect Kit han demostrado la eficacia de este enfoque.
Compromiso del proceso de publicación en Chrome Web Store
La CEO de Trust Wallet, Eowyn Chen, indicó que la versión 2.68 no pasó por el pipeline habitual de desarrollo y revisión interna. Los atacantes habrían obtenido un API key filtrado para Chrome Web Store, lo que les permitió subir una versión modificada de la extensión que superó la revisión de Google y se publicó oficialmente el 24 de diciembre a las 12:32 UTC.
La posesión de credenciales técnicas como API keys, tokens de CI/CD y accesos a cuentas de tiendas de aplicaciones otorga a los atacantes la capacidad de «hablar en nombre del desarrollador», distribuyendo actualizaciones maliciosas por los mismos canales en los que los usuarios confían por defecto. La industria ya ha visto el impacto de este tipo de compromisos en ecosistemas como NPM, PyPI o extensiones de navegador.
Campaña de phishing paralela contra usuarios de Trust Wallet
En paralelo al compromiso de la extensión, se detectó una campaña de phishing dirigida a usuarios de Trust Wallet. Según reportes, en la red social X (antes Twitter) aparecieron cuentas falsas de soporte que redirigían al dominio fix-trustwallet[.]com, un sitio que imitaba la apariencia del portal oficial.
La página invitaba a «corregir una vulnerabilidad» instalando una supuesta actualización. Tras pulsar el botón de actualización, se mostraba un formulario solicitando la seed phrase. Dado que la seed phrase es la clave maestra que permite reconstruir el monedero en cualquier dispositivo, su introducción equivale a entregar el control total de los fondos. El dominio compartía registrador con metrics-trustwallet[.]com, lo que apunta a una alta probabilidad de coordinación entre ambas operaciones.
Impacto económico y ruta de los fondos robados
El análisis on-chain reveló el robo aproximado de 3 millones de dólares en Bitcoin, unos 431 dólares en Solana y más de 3 millones de dólares en Ethereum. Firmas como PeckShield rastrearon el flujo de los fondos hacia servicios de intercambio y mezcla con el fin de ofuscar su origen.
Alrededor de 3,3 millones de dólares se enviaron al servicio ChangeNOW, unos 340 000 dólares a FixedFloat y aproximadamente 447 000 dólares a la plataforma KuCoin. Unos 2,8 millones de dólares permanecían aún en direcciones controladas por los atacantes en el momento del análisis. Esta dispersión entre múltiples servicios replica estrategias vistas en otros robos de alto valor y complica tanto la trazabilidad como la congelación coordinada de activos, aunque varias plataformas de intercambio colaboran de forma creciente con las fuerzas de seguridad.
Posibles responsables y riesgo de insiders
Los especialistas de SlowMist no descartan la participación de grupos avanzados potencialmente vinculados a Estados, dado el nivel de preparación, la necesidad de acceso prolongado a la infraestructura de desarrollo y el uso coordinado de ingeniería social. Al mismo tiempo, Changpeng Zhao llegó a señalar la posibilidad de un insider, si bien no se han presentado pruebas públicas concluyentes que respalden esta hipótesis.
En incidentes previos en la industria cripto se ha observado un patrón recurrente: combinación de errores de seguridad operacional, controles débiles sobre credenciales críticas y, en algunos casos, participación interna. La experiencia de ataques como el de Axie Infinity/Ronin o diversos puentes DeFi muestra que los grupos estatales y el crimen organizado ven el ecosistema cripto como un objetivo prioritario.
Respuesta de Trust Wallet y recomendaciones de ciberseguridad para usuarios
Trust Wallet ha anunciado que reembolsará íntegramente a los usuarios afectados, centralizando el proceso a través de un formulario alojado en trustwallet-support.freshdesk.com. La compañía insiste en que cualquier gestión debe realizarse solo mediante los canales oficiales listados en su web y perfiles verificados, tras detectarse formularios de compensación falsos y cuentas fraudulentas de soporte en Telegram.
Desde una perspectiva de ciberseguridad, el caso refuerza varias pautas críticas para proteger criptomonedas: no introducir nunca la seed phrase en páginas web, formularios o chats, aunque parezcan oficiales; verificar cuidadosamente dominios y cuentas en redes sociales; mantener el software actualizado, pero contrastando siempre que la actualización proceda del canal legítimo; segmentar el riesgo utilizando dispositivos o perfiles de navegador dedicados para gestionar grandes volúmenes de criptoactivos; y, siempre que sea posible, recurrir a hardware wallets para almacenar fondos significativos. A medida que los ataques a la cadena de suministro y la ingeniería social sigan sofisticándose, la combinación de buenas prácticas del usuario y controles de seguridad robustos por parte de los proveedores será determinante para preservar la integridad de los activos digitales.
