- Hackers aprovecharon una versión comprometida de la extensión de navegador de Trust Wallet para robar unos 7 millones de dólares el día de Navidad.
- El incidente se vincula a una puerta trasera introducida en la versión 2.68 de la extensión, que filtraba semillas y datos sensibles a un dominio externo.
- Changpeng Zhao (CZ) afirmó que Trust Wallet compensará a todos los usuarios afectados, y el equipo ya contacta con las víctimas.
- El caso reaviva las preocupaciones de seguridad sobre monederos de autocustodia y posibles implicaciones internas en el ataque.
Usuarios de Trust Wallet vieron cómo sus fondos desaparecían el día de Navidad tras un ataque cuidadosamente preparado contra la extensión de navegador del monedero. El incidente, que afectó principalmente a quienes utilizaban la versión de escritorio, se ha saldado con pérdidas de alrededor de 7 millones de dólares en activos digitales.
La situación ha generado una mezcla de preocupación y alivio: si bien el hackeo ha puesto bajo escrutinio la seguridad del ecosistema de monederos, Trust Wallet —propiedad de Binance— se ha comprometido a cubrir el total de los fondos sustraídos, según confirmó Changpeng Zhao (CZ) en una publicación en X.
Un ataque navideño preparado con semanas de antelación
La investigación preliminar apunta a que el ataque no fue un movimiento improvisado, sino un plan desarrollado desde principios de diciembre. De acuerdo con Yu Xian, cofundador de la firma de seguridad blockchain SlowMist, los responsables comenzaron los preparativos al menos el 8 de diciembre, aprovecharon el 22 de diciembre para insertar una puerta trasera en el código y empezaron a mover los fondos el propio día de Navidad.
Según la reconstrucción de los hechos, el vector principal fue la versión 2.68 de la extensión de navegador de Trust Wallet. Esta versión, disponible para usuarios de ordenadores de sobremesa, habría sido modificada mediante un ataque a la cadena de suministro, permitiendo a los atacantes introducir código malicioso camuflado como una simple herramienta de analítica.
Ese código de puerta trasera recopilaba datos sensibles de los usuarios, incluyendo información personal y, crucialmente, las frases semilla de los monederos. Una vez que el usuario importaba o introducía su seed en la extensión comprometida, la información era enviada silenciosamente a un servidor controlado por los atacantes, lo que les permitía drenar las carteras a voluntad.
El detective on-chain ZachXBT fue uno de los primeros en alertar a la comunidad cripto, al notar patrones de vaciado simultáneo de monederos mientras los usuarios actualizaban la extensión. Este comportamiento anómalo coincidió en el tiempo con el despliegue de la versión 2.68, lo que reforzó rápidamente la hipótesis de un compromiso específico de esa actualización.
La extensión 2.68 de Trust Wallet, en el centro de la polémica
Tras la oleada de reportes de usuarios afectados, el equipo de Trust Wallet reconoció públicamente que se había producido un incidente de seguridad en la extensión de navegador versión 2.68. La compañía subrayó que el problema estaba acotado a esa versión concreta y que tanto el monedero móvil como otras versiones no presentaban indicios de compromiso.
Inicialmente, el equipo recomendó a los usuarios desactivar de inmediato la extensión afectada y actualizarla a una nueva versión segura. En un primer momento se habló de pasar a la versión 2.69, y posteriormente se indicó como referencia la versión 2.89 como actualización recomendada, en un esfuerzo por asegurarse de que todo el mundo estuviera utilizando un release sin la puerta trasera implantada.
Expertos en seguridad blockchain como el analista conocido como Akinator calificaron lo ocurrido como un ataque a la cadena de suministro. Según sus observaciones, el código malicioso se introdujo justo antes del lanzamiento de la versión 2.68, el 24 de diciembre, e incluía funciones que aparentaban ser de seguimiento y métricas, pero que en realidad recolectaban la actividad y las credenciales de los monederos.
El flujo del ataque pasaba por un dominio registrado recientemente, metrics-trustwalletcom, al que se enviaban las semillas y otros datos de los usuarios. Aunque este dominio ya se encuentra inactivo, su uso sugiere que los atacantes prepararon infraestructura específica para canalizar la información robada. Con esas seeds en su poder, pudieron reconstruir y vaciar las carteras comprometidas sin necesidad de más interacción por parte de las víctimas.
Trust Wallet, por su parte, insiste en que los demás productos de su ecosistema, especialmente la aplicación móvil, no se vieron afectados y que el incidente quedó circunscrito a esta actualización concreta del navegador. Aun así, el caso reabre el debate sobre la exposición de los usuarios a riesgos en extensiones de navegador, un vector que en los últimos años se ha convertido en un objetivo recurrente para los atacantes.
¿Error interno o mano negra? Crecen las sospechas en la industria
Uno de los puntos más delicados del caso es la posibilidad de que el incidente no se deba solo a una brecha externa, sino a algún tipo de colaboración interna o acceso privilegiado al código. Varios observadores de la industria han insinuado que la forma en que se distribuyó la versión maliciosa no encaja del todo con un hackeo tradicional.
El asesor intergubernamental de blockchain Anndy Lian fue especialmente contundente al afirmar que este tipo de “hackeo” no se produce de manera natural y que las probabilidades de que exista una implicación interna son elevadas. Su argumento se basa en que el atacante no solo conocía bien el proceso de despliegue de la extensión, sino que consiguió hacer llegar una actualización comprometida directamente a través de los canales oficiales.
Esta visión fue compartida, al menos en parte, por Changpeng Zhao, que describió el exploit como “muy probablemente” obra de alguien interno. Aunque no se han hecho públicas pruebas concluyentes que demuestren una conspiración desde dentro, la familiaridad del atacante con el código fuente, señalada también por Yu Xian de SlowMist, refuerza la sospecha de que no se trataba de un simple script kiddie probando suerte.
Xian destacó que quien introdujo la puerta trasera parecía dominar el funcionamiento interno de la extensión. Esto incluye saber exactamente dónde insertar el código, cómo disfrazarlo para que pasara controles básicos y cómo activar la exfiltración de datos en momentos clave, como la importación de una nueva frase semilla o la restauración de un monedero.
Más allá de si finalmente se confirma o no un componente interno, el incidente vuelve a poner de relieve una preocupación recurrente en el ecosistema: incluso soluciones de autocustodia ampliamente utilizadas y auditadas pueden presentar puntos de fallo cuando existe una dependencia de canales centralizados para distribuir actualizaciones o gestionar el ciclo de versiones.
Impacto para los usuarios: cientos de afectados y 7 millones en juego
En términos de alcance, el detective on-chain ZachXBT estimó que “cientos” de usuarios de Trust Wallet se vieron afectados por el exploit. La cifra total de fondos robados ronda los 7 millones de dólares, una cantidad relevante para los perjudicados pero que, en el contexto de grandes hackeos de criptomonedas, no se sitúa entre los mayores incidentes de la historia reciente.
Si se compara, por ejemplo, con el caso del cofundador de Axie Infinity, Jeff Zirlin, que en febrero de 2024 perdió cerca de 9,7 millones de dólares en Ether (ETH) en un ataque a su monedero personal, el robo contra Trust Wallet resulta menor en términos absolutos. Y, aun así, supone un golpe significativo a la confianza en una herramienta de autocustodia que se promociona para una base de más de 200 millones de usuarios en todo el mundo.
Según datos de Chainalysis, los exploits dirigidos a monederos personales representaron aproximadamente el 37 % del valor total robado en 2025, excluyendo el masivo hackeo a Bybit por 1.400 millones de dólares en febrero. En ese contexto, lo ocurrido con Trust Wallet encaja en una tendencia más amplia de ataques focalizados en carteras individuales, frente a los tradicionales golpes a exchanges centralizados.
Aunque el monto sustraído en este caso no compite con los mayores robos del sector, el hecho de que el incidente afecte a un monedero de autocustodia popular, y que se haya ejecutado a través de una actualización oficial, lo convierte en un caso de estudio para auditores, desarrolladores y reguladores. El episodio muestra cómo la línea entre “tú controlas tus llaves” y “dependes de la integridad del software” puede volverse muy fina.
La trazabilidad parcial de los fondos también abre una pequeña ventana a la esperanza: se calcula que unos 4,25 millones de dólares de lo robado acabaron siendo enviados a plataformas como HTX, ChangeNOW, FixedFloat y KuCoin. Este tipo de movimientos da margen para que los proveedores de servicios centralizados colaboren congelando activos o proporcionando información que ayude a identificar a los responsables.
Respuesta de Trust Wallet y promesa de compensación de CZ
Frente al miedo y la frustración de los afectados, la comunicación oficial se ha centrado en dos frentes: mitigar el daño inmediato y restaurar la confianza en el producto. Trust Wallet informó que su equipo de soporte ya ha comenzado a contactar a las víctimas identificadas, guiándolas sobre los pasos a seguir y recogiendo información para procesar potenciales reembolsos.
El propio ZachXBT señaló que numerosas víctimas se pusieron en contacto con él en busca de orientación sobre la posible compensación. Esto llevó rápidamente la discusión al terreno de la responsabilidad: si un monedero de autocustodia suele operar bajo la premisa de que “cada usuario es responsable de su seguridad”, ¿hasta qué punto debe responder la empresa cuando el vector de ataque es una actualización distribuida desde sus canales oficiales?
En este punto, la figura de Changpeng Zhao entró en escena con un mensaje claro: Trust Wallet cubrirá las pérdidas ocasionadas por el exploit. Según explicó CZ en X, el equipo considera que se trata de un fallo sistémico que justifica la restitución completa de los fondos robados, y se ha comprometido públicamente a que las víctimas recuperen su dinero.
Este anuncio fue bien recibido por muchos usuarios, pero también generó cierto debate sobre el impacto a largo plazo en la marca. Algunos observadores creen que, pese al gesto, el incidente puede dañar la reputación de Trust Wallet como solución de autocustodia segura, mientras que otros consideran que la disposición a asumir las pérdidas podría reforzar su imagen ante quienes valoran un respaldo corporativo en momentos críticos.
La investigación interna continúa, y uno de los puntos clave será esclarecer cómo se logró introducir y distribuir la versión comprometida. El hecho de que Binance sea el propietario de Trust Wallet añade un componente adicional: la forma en que se gestione este caso podría influir en la percepción de los usuarios sobre la seguridad del ecosistema Binance en general.
Monederos bajo presión: un riesgo creciente para los inversores
El ataque a Trust Wallet se suma a una lista cada vez más larga de incidentes que afectan a monederos personales, en un momento en el que el sector cripto sigue digiriendo el crecimiento de la autocustodia y la descentralización. Lo que antes se veía como una alternativa casi infalible frente a los riesgos de los exchanges centralizados ahora aparece, en algunos casos, como otra superficie de ataque compleja.
Las cifras de Chainalysis apuntan a que una parte importante del valor robado en 2025 provino precisamente de exploits contra wallets individuales, y no tanto de hackeos masivos a plataformas de intercambio. En otras palabras, el foco de los atacantes se ha ido desplazando hacia el eslabón donde la seguridad depende, en gran medida, de la combinación entre la robustez del software y los hábitos del usuario.
En este escenario, la extensión de navegador se ha convertido en un objetivo especialmente atractivo. Su papel como interfaz directa entre el usuario y las aplicaciones descentralizadas (dApps) implica que, si se ve comprometida, los atacantes pueden interceptar transacciones, extraer claves o manipular permisos con relativa facilidad. El caso de Trust Wallet ilustra a la perfección cómo una simple actualización puede convertirse en el punto de entrada para un ataque de gran alcance.
Para los inversores, esto se traduce en la necesidad de revisar ciertas prácticas que se habían dado por sentadas. Por ejemplo, confiar ciegamente en que cada nueva versión del software es más segura que la anterior puede no ser suficiente. Muchos expertos recomiendan ahora verificar anuncios oficiales en múltiples canales, revisar el origen de las descargas y, cuando sea posible, utilizar hardware wallets o soluciones con capas adicionales de protección para grandes cantidades de fondos.
A nivel de industria, la presión es cada vez mayor para mejorar la transparencia del proceso de desarrollo y despliegue de actualizaciones, reforzar las auditorías de código y adoptar mecanismos que permitan detectar modificaciones no autorizadas antes de que lleguen al usuario final. El incidente de Trust Wallet, pese a su impacto comparativamente menor, se suma a los argumentos a favor de estas reformas.
Con el compromiso de Trust Wallet y CZ de reembolsar los aproximadamente 7 millones de dólares robados, el episodio navideño deja una sensación agridulce: por un lado, se confirma que incluso herramientas de autocustodia muy extendidas pueden convertirse en blanco de ataques sofisticados a la cadena de suministro; por otro, la decisión de responder económicamente a las víctimas ofrece un cierto colchón de seguridad en un entorno donde los usuarios suelen estar solos ante el peligro. Lo ocurrido funciona como recordatorio de que la seguridad en criptomonedas no depende solo de tener las llaves privadas, sino también de la integridad del software que usamos cada día y de la rapidez con la que el ecosistema es capaz de reaccionar cuando algo sale mal.
