Confusão na compensação da Trust Wallet, desafios na identificação dos verdadeiros prejudicados｜5.000 casos de cobranças fraudulentas identificados

Gap entre pedidos de compensação e danos reais em destaque

A carteira de gestão própria “Trust Wallet” enfrenta desafios inesperados que vieram à tona. Segundo o anúncio do CEO da empresa, Ewin Cheng, o número de pedidos de compensação relacionados ao incidente de hacking ocorrido em 25 de dezembro, explorando uma extensão de navegador, atingiu aproximadamente 5.000, enquanto o número real de carteiras afetadas permanece em 2.596. Sobre essa discrepância que supera duas vezes, Cheng apontou a possibilidade de muitas dessas solicitações serem falsas ou duplicadas. A Trust Wallet está implementando um novo processo de verificação rigorosa da legitimidade dos danos para garantir a confiabilidade das compensações.

O valor total estimado dos danos causados pelo incidente de segurança é de cerca de 7 milhões de dólares (aproximadamente 11 bilhões de ienes), e a política de reembolso integral aos legítimos afetados já foi anunciada.

Realidade dos danos: vazamento de ativos por código malicioso

A causa direta do incidente foi a incorporação de código malicioso na versão 2.68 da extensão Chrome da Trust Wallet. Os atacantes exploraram essa vulnerabilidade para enviar fundos de criptomoedas dos usuários de forma fraudulenta. O alerta foi dado pelo pesquisador de segurança de criptomoedas ZachXBT, e a empresa iniciou imediatamente ações para conter a expansão dos danos.

Importante notar que, até o momento, não há impacto na versão móvel ou em outras extensões de navegador, conforme confirmado. A empresa lançou urgentemente a versão 2.69 corrigida e recomendou aos usuários que desativem a extensão.

Progresso na compensação e fortalecimento da verificação

Em 27 de dezembro, a Trust Wallet abriu um canal oficial de solicitação de compensação no portal de suporte. Os solicitantes devem enviar informações necessárias, como endereço de e-mail, endereço da carteira e endereço de recebimento do atacante, através de um formulário dedicado.

O fundador da grande exchange mãe, Champong Zhao, declarou na X que a empresa assumirá toda a perda decorrente do incidente. Ao mesmo tempo, a empresa alertou para golpes de phishing que se aproveitam do processo de compensação e pediu aos usuários que não respondam a formulários de compensação enviados por canais não oficiais.

Fortalecimento do processo de verificação: identificação de verdadeiros afetados

A equipe de verificação da Trust Wallet está atualmente revisando um grande volume de pedidos de compensação. Segundo Cheng, eles combinam múltiplos pontos de dados, como histórico de transações, informações da versão da extensão e comprovação de propriedade da carteira, para distinguir vítimas legítimas de solicitantes maliciosos.

A empresa deixou claro que prioriza a precisão da verificação em vez da velocidade de pagamento, ajustando deliberadamente o ritmo de reembolso para evitar fraudes.

Na investigação forense técnica em andamento, foram encontrados indícios de que os atacantes possuíam profundo conhecimento da estrutura do código-fonte da Trust Wallet. A investigação sobre possível envolvimento interno também está em andamento, mas até o momento não há provas conclusivas, e a investigação continua com o apoio de especialistas externos.

Vulnerabilidade fundamental das carteiras de gestão própria

O incidente revelou os riscos potenciais do conceito de carteiras de gestão própria. Com a popularização das extensões de navegador, a cadeia de fornecimento de atualizações de software (supply chain) está sendo reconhecida como um novo alvo de ataques.

Diversos provedores de carteiras apontam que, mesmo em carteiras de gestão própria, onde o usuário gerencia suas chaves privadas, ainda há dependência centralizada na distribuição de aplicativos e na atualização de software. Especialistas afirmam que “mesmo em carteiras de gestão própria, uma única falha na distribuição de aplicativos ou na atualização de software pode representar um risco”, e recomendam a adoção de métodos de build reproduzíveis, fortalecimento da verificação de integridade e distribuição descentralizada de atualizações para melhorar a confiabilidade.

Essa perspectiva está forçando uma mudança de consciência de segurança em todo o mercado de carteiras de gestão própria.

Os preços estão convertidos na taxa de câmbio de 1 dólar = 156,24 ienes na data de redação.