Confusión en la compensación de Trust Wallet, desafíos para identificar a los verdaderos afectados｜Se han detectado 5,000 casos de reclamaciones fraudulentas

La brecha entre reclamaciones de compensación y daños reales se hace evidente

Se han puesto de manifiesto los desafíos inesperados que enfrenta la billetera de gestión propia “Trust Wallet”. Según anunció el CEO de la compañía, Ewin Cheng, el número de reclamaciones de compensación por el hackeo ocurrido el 25 de diciembre, que explotó una extensión de navegador, ha alcanzado aproximadamente 5,000 casos, mientras que el número de billeteras afectadas en realidad se limita a 2,596. Sobre esta discrepancia que supera el doble, Cheng señaló la posibilidad de que muchas reclamaciones sean falsas o duplicadas. Trust Wallet ha comenzado a implementar un nuevo proceso para verificar estrictamente la legitimidad de los daños y garantizar la fiabilidad de las compensaciones.

Se estima que el daño total causado por la brecha de seguridad asciende a aproximadamente 7 millones de dólares (unos 11 mil millones de yenes), y ya se ha anunciado una política de reembolso completo a los afectados legítimos.

La realidad del daño: fuga de activos por código malicioso

La causa directa del incidente fue la incorporación de código malicioso en la versión 2.68 de la extensión Chrome de Trust Wallet. Los atacantes aprovecharon esta vulnerabilidad para enviar fondos de criptomonedas de los usuarios de manera fraudulenta. La alerta fue emitida por el investigador de seguridad en criptomonedas ZachXBT, y la compañía inició inmediatamente medidas para prevenir una mayor expansión del daño.

Es importante destacar que no se vieron afectados ni la aplicación móvil ni otras extensiones de navegador, según la información confirmada. La compañía lanzó urgentemente la versión corregida 2.69 y recomendó a los usuarios desactivar la extensión.

Progreso en las medidas de compensación y fortalecimiento de la verificación

El 27 de diciembre, Trust Wallet abrió un portal oficial de soporte para reclamaciones de compensación para las víctimas. Los solicitantes deben enviar información necesaria, como dirección de correo electrónico, dirección de la billetera y la dirección de recepción del atacante, a través de un formulario dedicado.

El fundador de la principal plataforma de intercambio, que es la empresa matriz, Chao Zhang, declaró en X que la compañía asumirá toda la pérdida. Sin embargo, también advirtió sobre posibles fraudes de phishing que se aprovechan del proceso de compensación, y pidió a los usuarios que no respondan a formularios de reclamación que se compartan fuera de la página oficial de soporte.

Fortalecimiento del proceso de verificación: identificación de verdaderos afectados

El equipo de verificación de Trust Wallet está actualmente revisando minuciosamente un gran volumen de reclamaciones. Según Cheng, combinando múltiples datos como el historial de transacciones, la versión de la extensión y la prueba de propiedad de la billetera, se puede distinguir a los verdaderos afectados de los solicitantes malintencionados.

La compañía ha dejado claro que prioriza la precisión de la verificación sobre la rapidez en las compensaciones, y ha ajustado deliberadamente el ritmo de los reembolsos para prevenir reclamaciones fraudulentas.

En la investigación forense técnica en curso, se ha detectado que los atacantes tenían un conocimiento profundo de la estructura del código fuente de Trust Wallet. Aunque aún se investiga la posible participación interna, no se han encontrado pruebas concluyentes hasta ahora, y la investigación continúa en colaboración con expertos externos.

Vulnerabilidad fundamental de las billeteras de gestión propia

Este incidente ha puesto en evidencia los riesgos potenciales del concepto mismo de billetera de gestión propia. En particular, con la proliferación de extensiones de navegador, la cadena de suministro para la distribución de software se está reconociendo cada vez más como un nuevo objetivo de ataque.

Varios proveedores de billeteras han señalado que, incluso en billeteras de gestión propia donde los usuarios controlan sus claves privadas, la dependencia centralizada en la distribución de aplicaciones y en los mecanismos de actualización de software sigue siendo un punto vulnerable. Los expertos del sector advierten que “en las billeteras de gestión propia donde los usuarios mantienen sus claves privadas, también puede existir un único punto de fallo en la distribución de la aplicación o en las actualizaciones de software”, y proponen que para mejorar la fiabilidad se deben adoptar métodos de construcción reproducibles, fortalecer las verificaciones de integridad y descentralizar la distribución de actualizaciones.

Esta perspectiva está impulsando un cambio en la conciencia de seguridad en todo el mercado de billeteras de gestión propia.