A extensão do Chrome da Trust Wallet enviou uma atualização maliciosa em dezembro, exfiltrando dados da carteira e drenando cerca de US$ 7 milhões de centenas de contas antes que a empresa corrigisse o problema.
A versão comprometida 2.68 ficou no ar por dias, atualizando automaticamente em segundo plano, da mesma forma que as extensões do navegador foram projetadas. Os usuários que seguiram todas as regras padrão de autocustódia, como nunca compartilhar sua frase-semente, verificar URLs e usar carteiras confiáveis, ainda perderam fundos.
O ataque teve como alvo a camada do navegador, não o blockchain, e expôs uma compensação persistente que a indústria passou anos tentando ignorar: as carteiras de extensão do navegador são carteiras quentes sempre ativas, situadas em um dos ambientes mais hostis da computação.
Este não foi um caso isolado. A equipe de segurança da MetaMask documentou uma extensão falsa do Google Chrome chamada “Segurança: Carteira Ethereum” que esteve na Chrome Web Store oficial do final de setembro até meados de novembro, roubando frases iniciais.
Chainalysis estima que roubo de criptografia atingiu US$ 3,4 bilhões em 2025 com compromissos de carteira pessoal representando 20% desse total, ou US$ 713 milhões. No entanto, isso teria sido de 37% sem o hack da exchange Bybit.
Para se ter uma ideia, os comprometimentos de carteiras pessoais representaram apenas 7,3% do valor roubado em 2022 e 44% em 2024, indicando que os invasores estão seguindo o valor para onde quer que as chaves do usuário estejam.
A compensação UX/segurança que não vai desaparecer
As extensões do navegador ficam no mesmo ambiente que o adware e os plug-ins aleatórios. Campanhas como “ShadyPanda” e “GhostPoster” mostram como extensões benignas podem ser atualizadas anos depois com códigos que roubam cookies ou executam comandos remotos, por meio de canais de atualização legítimos.
O caso da Trust Wallet prova que mesmo carteiras respeitáveis podem enviar atualizações comprometidas brevemente, e os usuários as aceitam porque as extensões são atualizadas automaticamente em segundo plano. Essa é a desvantagem: as atualizações automáticas corrigem vulnerabilidades rapidamente, mas também fornecem códigos incorretos em grande escala.
A usabilidade leva os usuários à assinatura cega porque as transações ETH e EVM são notoriamente difíceis de ler para usuários comuns.
Ao aprovar trocas por meio de uma extensão do navegador, a maioria dos usuários toca em “Confirmar” em blobs hexadecimais opacos, em vez de semântica legível por humanos.
Como resultado, os kits de drenagem exploram isso apresentando transações que parecem ser aprovações de rotina, mas concedem direitos totais de gasto de tokens aos contratos do invasor.
O usuário aprova tecnicamente cada etapa, mas não tem ideia do que está sendo assinado. Isso não é um bug no comportamento do usuário, mas sim uma característica de como as carteiras dos navegadores minimizam o atrito.
As “melhores práticas” ainda pressupõem que os usuários podem verificar o contexto de maneira confiável. Durante anos, a higiene da autocustódia significou: nunca compartilhar a semente, verificar URLs, usar carteiras de hardware.
Estas continuam a ser necessárias, mas insuficientes.
Extensões falsas nunca solicitam diretamente a frase-semente até que o usuário “importe” uma carteira. Por outro lado, eles apresentam UX familiar, permitindo aos usuários distinguir os clones dos reais.
O processo de verificação da Chrome Web Store supostamente detecta isso, mas não detecta de forma consistente.
Para usuários de carteira de hardware, a exploração do Ledger Connect Kit do final de 2023 ilustra a mesma falha. A conta NPM de um ex-funcionário foi roubada e os invasores enviaram um pacote malicioso que injetou código drenante em qualquer dApp usando o kit.
Os usuários com dispositivos de hardware Ledger ainda perderam fundos porque a integração do navegador foi comprometida. Mesmo com as chaves ainda no dispositivo, os usuários assinavam transações desgastantes porque a lógica do navegador havia sido adulterada.
Dados empíricos mostram que os modelos que combinam armazenamento de chaves de hardware e assinatura isolada têm taxas de incidentes abaixo de 5% em comparação com mais de 15% para carteiras somente de software. Carteiras com detecção de phishing e alertas de transações reduzem as perdas relatadas pelos usuários em quase 60%.
No entanto, a adoção é o problema: a atividade diária do DeFi é executada por meio de extensões do navegador porque elas são a única configuração que a maioria dos usuários considera utilizável. As configurações mais seguras são muito complicadas e as configurações utilizáveis são muito expostas.
Onde os ataques realmente acontecem
Os elos fracos em 2025 estão quase todos “acima” da cadeia, como o navegador, as extensões e a cadeia de abastecimento, enquanto a maior parte da educação dos utilizadores ainda se concentra no que acontece abaixo, ao nível da chave privada e do armazenamento de sementes.
Os caminhos de ataque se dividem em quatro camadas.
A camada do navegador e do sistema operacional é onde o malware ladrão de informações opera. Famílias como ModStealer, AmosStealer e SantaStealer infectam a máquina, leem o armazenamento de extensões, interceptam pressionamentos de tecla ou conectam APIs do navegador para capturar sementes e chaves privadas em repouso.
Conforme relatado pelo TechRadar, essas ferramentas agora são comercializadas em fóruns clandestinos e no Telegram como “ladrão como serviço”, com módulos dedicados a capturar credenciais de navegador, cookies e dados de carteira e, em seguida, infiltrá-los em pedaços compactados.
O navegador é o ponto de entrada e as extensões são a carga útil.
A camada de extensão da carteira é onde operam atualizações comprometidas ou maliciosas. A versão 2.68 da Trust Wallet, a carteira falsa “Safery” e as carteiras maliciosas no Chrome adicionavam códigos que infiltravam segredos ou adulteravam solicitações de transação antes que os usuários os vissem.
Esta é a compensação entre UX e cadeia de suprimentos em ação: as atualizações automáticas são essenciais para corrigir vulnerabilidades, mas também fornecem códigos ruins em grande escala quando o próprio mecanismo de atualização é comprometido.
A camada dApp e conector é onde bibliotecas como o Ledger Connect Kit são sequestradas. Quando estes são comprometidos no upstream, os dApps legítimos começam a apresentar transações maliciosas.
O usuário conecta sua carteira real ou dispositivo de hardware, vê um prompt de aparência normal e assina uma transação drenante. Essa camada é invisível para a maioria dos usuários, pois eles não sabem quais bibliotecas JavaScript alimentam os dapps que usam e não têm como verificar se essas bibliotecas não foram adulteradas.
A camada RPC e blockchain é onde o ataque é concluído. Depois que uma transação maliciosa é assinada e transmitida, o restante da pilha funciona conforme planejado.
Os fundos movimentam-se e as únicas defesas restantes são a monitorização, a resposta rápida a incidentes e quaisquer medidas de recuperação fora da cadeia que o ecossistema possa ter. Nesse ponto, o estrago está feito. O blockchain não falhou, mas as camadas acima dele falharam.
O que os detentores de BTC e ETH deveriam realmente fazer
A lista de verificação para usar carteiras de navegador não mudou muito em princípio, mas a ênfase precisa mudar para isolar a camada do navegador dos ativos que importam.
A tabela abaixo detalha as principais áreas onde os usuários podem reduzir a exposição sem abandonar totalmente as carteiras do navegador.
| Área | O que fazer | Por que isso importa |
|---|---|---|
| Armazenamento frio vs. armazenamento quente | Mantenha BTC/ETH de longo prazo em hardware ou multisig; use carteiras de navegador apenas para capital de giro. | Limita os danos se uma extensão do navegador ou PC for comprometido. |
| Isole seu navegador | Use um navegador/perfil dedicado para criptografia com extensões mínimas, instaladas a partir de links oficiais. | Reduz a superfície de ataque de complementos obscuros e anúncios de pesquisa envenenados. |
| Verifique extensão e versão | Confirme o nome do editor e a versão da extensão nos documentos oficiais da carteira após incidentes graves. | Captura extensões falsas ou adulteradas e atualizações automáticas comprometidas. |
| Manipulação de frase-semente | Nunca digite sua seed em um navegador ou chat de “suporte”; se você fez isso, migre para uma nova carteira de hardware. | Assume que qualquer seed exposto ao navegador foi queimado e remove o comprometimento persistente. |
| Aprovações e permissões | Revise e revogue regularmente as aprovações de tokens; evitar subsídios ilimitados para ocultar contratos. | Reduz o raio de explosão de um único dapp malicioso ou contrato de drenagem. |
| Higiene de endpoint | Mantenha o sistema operacional e o navegador atualizados; evite software pirata; use AV confiável ajustado para ladrões de informações. | Muitos ataques modernos vêm de malware que caça especificamente extensões de carteira. |
| Use recursos de segurança de carteira | Ative a proteção contra phishing, a simulação de transações e os catálogos de endereços, quando disponíveis. | Adiciona verificações de máquina ao julgamento humano para domínios e transações suspeitas. |
| Adicione fricção para grandes quantidades | Para transferências grandes, exija um segundo dispositivo, carteira de hardware ou caminho de aprovação multisig. | Força você a sair do caminho do navegador comprometido antes de transferir somas que mudam sua vida. |
A indústria conhece o problema e não o resolveu
O incidente da Trust Wallet, as falsas extensões do Chrome, a exploração do Ledger Connect Kit e a crescente parcela de comprometimentos de carteiras pessoais apontam para a mesma conclusão: o navegador é um ambiente hostil e as “práticas recomendadas de autocustódia” em torno de frases-semente e hardware ainda não abordam totalmente isso.
O modo de falha mudou de usuários que manipulam incorretamente as chaves para invasores que comprometem a camada UX, e a indústria sabe disso há anos.
A arquitetura não mudou porque as alternativas são muito complicadas para adoção em massa ou muito centralizadas para se adequarem ao ethos.
Até que as carteiras dos navegadores possam ser isoladas do ambiente mais amplo do navegador, ou até que a assinatura da transação aconteça em um fluxo verdadeiramente isolado que não dependa de bibliotecas JavaScript e extensões de atualização automática, a compensação persistirá.
Os usuários podem seguir todas as regras, usar carteiras de hardware, nunca compartilhar suas sementes e ainda perder fundos porque o código com o qual estão interagindo, e que não têm maneira prática de auditar, foi comprometido silenciosamente.
Isso não é um problema de educação do usuário. É um problema de arquitetura e nenhuma “melhor prática” irá resolvê-lo.
Fonte: www.cryptoslate.com
Link da Fonte
