- Una vulnerabilidad en la versión 2.68 de la extensión de Chrome de Trust Wallet permitió el drenaje de más de 7 millones de dólares en criptomonedas.
- El fallo afectó exclusivamente a la extensión para Chrome en su versión 2.68; usuarios móviles y otras versiones del navegador no se vieron impactados.
- Trust Wallet y Binance confirmaron que los fondos robados serán reembolsados y recomendaron actualizar de inmediato a la versión 2.69.
- El incidente reaviva las dudas sobre la seguridad de las billeteras basadas en navegador y refuerza la necesidad de reforzar la protección de claves privadas.
Una grave brecha de seguridad en la extensión de Chrome de Trust Wallet ha provocado el vaciado automático de fondos de miles de direcciones, con pérdidas que superan los 7 millones de dólares en criptomonedas. El fallo se asocia directamente a la versión 2.68 de la extensión para el navegador de Google y ha vuelto a poner en el punto de mira la seguridad de las billeteras cripto basadas en navegador, también entre usuarios de España y del resto de Europa.
Según los primeros análisis, los atacantes aprovecharon una vulnerabilidad introducida tras una actualización reciente para drenar, en cuestión de minutos, fondos en redes como Bitcoin, Ethereum, BNB e incluso Solana. Mientras el equipo de Trust Wallet y su propietario, Binance, han prometido reembolsar las pérdidas, el episodio ha generado inquietud en la comunidad al evidenciar lo expuestos que pueden quedar los activos cuando se gestionan desde extensiones de navegador.
Cómo se produjo la brecha en la extensión de Chrome de Trust Wallet
La incidencia se detectó entre el 24 y el 25 de diciembre, poco después de que se liberara la versión 2.68 de la extensión de Trust Wallet para Google Chrome. A partir de ese momento comenzaron a multiplicarse los reportes de usuarios que veían cómo sus billeteras se vaciaban poco después de introducir sus frases semilla o utilizar la extensión actualizada.
El investigador on-chain conocido como ZachXBT fue uno de los primeros en dar la voz de alarma, al recopilar informes de múltiples direcciones afectadas y rastrear transferencias rápidas y coordinadas desde distintas cuentas de Trust Wallet. En cuestión de horas, los fondos iban siendo redirigidos a una red de direcciones controladas por los atacantes, sin apenas dejar margen de reacción.
Los análisis preliminares apuntan a que los delincuentes habrían logrado comprometer el manejo de las claves privadas o la autorización de transacciones dentro de la extensión vulnerable. Es decir, una vez el usuario interactuaba con la versión 2.68, las transacciones quedaban expuestas a un control externo, permitiendo el drenaje total de los fondos sin autorización consciente del titular.
Las pérdidas iniciales estimadas se situaron en torno a 4,3 millones de dólares, aunque las cifras se fueron actualizando hasta superar los 6 y finalmente los 7 millones, a medida que aparecían más casos y se agrupaban las direcciones implicadas. Algunas carteras receptoras llegaron a acumular cientos de ETH y más de una decena de BTC, además de otros activos en distintas cadenas.
Versión afectada, alcance del fallo y reacción de Trust Wallet
Una vez confirmado el problema, el propio equipo de Trust Wallet reconoció públicamente que la brecha de seguridad estaba asociada de forma exclusiva a la versión 2.68 de la extensión para Chrome. En comunicaciones posteriores en X (antes Twitter) y otros canales oficiales, insistieron en que los usuarios:
- No debían abrir ni utilizar la extensión en su versión 2.68.
- Tenían que actualizar inmediatamente a la versión 2.69, en la que se incluían las correcciones necesarias.
- Revisaran sus transacciones recientes y reportaran cualquier movimiento sospechoso de fondos.
La compañía subrayó que los usuarios que solo emplean la app móvil de Trust Wallet no se vieron afectados, del mismo modo que tampoco resultaron impactadas otras versiones de la extensión de navegador distintas de Chrome. El problema, por tanto, se limita al entorno del navegador de Google y a una actualización concreta.
Pese a ello, algunos analistas han señalado que la primera advertencia pública de Trust Wallet se produjo más de 24-30 horas después de que comenzaran los reportes de drenajes de fondos, un intervalo de tiempo en el que los atacantes siguieron moviendo activos de forma continuada. Este lapso ha sido criticado por parte de la comunidad, que considera que una reacción más rápida podría haber mitigado en parte el impacto.
Hasta el momento de redactar este artículo, Trust Wallet no ha publicado una explicación técnica detallada sobre el origen del fallo, más allá de confirmar la existencia de la vulnerabilidad y su corrección en la versión 2.69. La investigación sigue en curso y se espera que se hagan públicos más detalles una vez concluya el análisis forense.
El papel de Binance y la promesa de reembolso a los usuarios
Binance, como propietario de Trust Wallet, ha tenido que salir al paso de la preocupación generada en el ecosistema. Su cofundador, Changpeng Zhao (CZ), confirmó que los fondos robados serían reembolsados en su totalidad a las personas afectadas por la vulnerabilidad de la extensión de Chrome.
Según las declaraciones vinculadas a la compañía, las pérdidas totales rondan los 7 millones de dólares, cantidad que será cubierta a través del conocido Fondo de Activos Seguros para Usuarios (SAFU), una reserva destinada precisamente a compensar incidentes de seguridad. El objetivo de este compromiso es contener el impacto reputacional y mantener la confianza en la billetera y en el ecosistema de Binance.
El proceso de compensación, no obstante, requiere identificar y verificar todas las direcciones afectadas, confirmar los importes exactos y coordinar con los usuarios las vías de reembolso. Trust Wallet ha indicado que la prioridad inmediata es garantizar que la brecha esté totalmente cerrada en la versión 2.69 y que no continúen produciéndose drenajes adicionales.
Mientras tanto, Binance ha señalado que revisará de forma interna cómo pudo colarse el comportamiento malicioso en la actualización sin ser detectado previamente en las auditorías o controles habituales. Este tipo de incidentes pone en cuestión los procesos de revisión de código, especialmente en productos que manejan directamente claves privadas y grandes volúmenes de fondos.
Aumento global de robos cripto y contexto para Europa
El caso de Trust Wallet no se produce en el vacío. Llega en un momento en el que, según datos de la firma de análisis Chainalysis, el robo de criptoactivos ha alcanzado los 6.750 millones de dólares en el último año, reflejando la sofisticación creciente de los atacantes y la amplitud del problema en el sector.
Uno de los puntos más preocupantes del informe es el incremento de los compromisos de billeteras personales, que habrían saltado de 64.000 a 158.000 casos en un año. Aunque el valor robado en este tipo de ataques supone ahora alrededor del 20 % del total (frente al 44 % de periodos anteriores), demuestra que las billeteras no custodiales siguen siendo un objetivo muy atractivo cuando se detecta una vulnerabilidad.
En Europa, donde el marco regulatorio en torno a los criptoactivos avanza con normativas como MiCA, este tipo de incidentes alimenta el debate sobre hasta qué punto deben exigirse estándares mínimos de seguridad a las billeteras no custodiales. Aunque la filosofía de autocustodia implica que el usuario asume mayor responsabilidad, la magnitud de los daños y la presencia de grandes actores del sector hace que cada vez se escuchen más voces a favor de auditorías de seguridad regulares y transparentes.
Para usuarios españoles y europeos que utilizan extensiones como la de Trust Wallet, el episodio refuerza un mensaje que ya venía calando: no conviene almacenar grandes cantidades de cripto en billeteras calientes ligadas al navegador, sobre todo si se utilizan a diario para interactuar con aplicaciones descentralizadas (dApps) o firmar transacciones frecuentes.
Riesgos específicos de las billeteras basadas en navegador
Las extensiones de navegador, como la de Trust Wallet para Chrome, se integran de forma profunda con el propio navegador, lo que les otorga permisos elevados para leer y modificar datos relacionados con páginas web y procesos de firma de transacciones. Esta integración es lo que permite una experiencia fluida con dApps, pero también abre la puerta a problemas, como fallos tipo pixnapping, cuando se introduce una actualización defectuosa.
En este caso concreto, la brecha sugiere la posibilidad de un fallo en la gestión interna de las frases semilla o de las claves privadas dentro de la versión 2.68, permitiendo que un atacante pudiera autorizar transacciones sin el consentimiento explícito del usuario. A diferencia de otros fraudes más graduales, aquí el drenaje fue prácticamente inmediato, sin etapas intermedias ni intentos de disimulo.
Este patrón encaja con un ataque meticulosamente planificado, en el que los responsables habrían preparado una infraestructura de direcciones receptoras y rutas para mover los fondos a gran velocidad, dificultando el rastreo y la recuperación posterior. Aunque parte de la actividad puede seguirse en la cadena de bloques, la dispersión entre múltiples wallets complica cualquier acción coordinada.
Además, el hecho de que una sola actualización haya sido suficiente para comprometer a tantos usuarios vuelve a poner el foco en los riesgos de la cadena de suministro de software: si un componente crítico se introduce con un error (o, en el peor de los casos, de forma maliciosa), el daño potencial puede ser masivo.
Qué pueden hacer ahora los usuarios: recomendaciones prácticas
Ante un incidente de este tipo, los expertos en ciberseguridad recomiendan a los usuarios afectados -y también a quienes simplemente utilizan extensiones cripto- adoptar una serie de medidas de prevención y mitigación para reducir el impacto de posibles brechas futuras.
Entre las pautas más repetidas destacan:
- Actualizar inmediatamente la extensión a la versión 2.69 o posterior, comprobando siempre que la descarga se realiza desde canales oficiales.
- Revocar permisos otorgados a dApps y contratos inteligentes que ya no se utilicen, especialmente en redes como Ethereum o BNB Chain.
- Trasladar los fondos a nuevas direcciones generadas con frases semilla distintas, en una billetera no vinculada a la extensión afectada.
- Considerar el uso de billeteras de hardware (como dispositivos dedicados) para el almacenamiento de cantidades significativas de criptoactivos.
- Evitar introducir la frase semilla en páginas web, tutoriales falsos o aplicaciones cuya legitimidad no esté totalmente verificada.
En el caso concreto de Trust Wallet, la compañía ha insistido en que la app móvil se mantiene segura y no ha sufrido compromisos, algo que puede resultar relevante para usuarios que prefieren seguir utilizando la marca pero minimizando la exposición vía navegador. Aun así, los especialistas recomiendan diversificar métodos de custodia y no depender de una sola herramienta para gestionar todos los activos.
Para pequeños inversores, PYMES y autónomos que empiezan a integrar pagos o cobros en cripto, este tipo de sucesos son un recordatorio de que la seguridad no puede dejarse para el final. Planes de respuesta ante incidentes, copias de seguridad seguras de las semillas y procedimientos claros para mover fondos rápidamente en caso de alerta son cada vez más necesarios.
Todo lo ocurrido con la brecha en la extensión de Chrome de Trust Wallet deja varias lecciones clave: la conveniencia de las billeteras de navegador tiene un coste en términos de exposición, la importancia de auditar y revisar cada actualización es mayor que nunca y, aunque existan promesas de reembolso como las anunciadas por Binance, la primera línea de defensa sigue siendo la prudencia del propio usuario. La combinación de herramientas más seguras, buenas prácticas y atención continua a las alertas de seguridad será determinante para que quienes operan con criptomonedas en España y Europa puedan seguir utilizando estos servicios con mayor tranquilidad.
