Evento de hacking em grande escala na extensão Trust Wallet, surgem alegações falsas durante a avaliação de compensação | Aproximadamente 5.000 pedidos, apenas 2.600 considerados danos legítimos

Comprometimento da credibilidade na solicitação de compensação

A carteira de gestão própria “Trust Wallet” enfrenta uma nova questão relacionada com o procedimento de compensação, tendo surgido um problema de credibilidade. De acordo com o anúncio do CEO Ewin Cheng, em relação ao incidente de 25 de dezembro, quando um código malicioso foi inserido na extensão do navegador, o número de solicitações de compensação recebidas atingiu cerca de 5.000, enquanto o número real de carteiras afetadas permanece em 2.596.

Sobre essa grande discrepância, Cheng comentou que “é bastante provável que haja muitas solicitações falsas ou duplicadas”. A empresa adotou uma política de priorizar a precisão em vez da velocidade, implementando um processo de verificação rigoroso para garantir que apenas as vítimas legítimas sejam elegíveis para compensação.

Identificação das vítimas por meio de análise forense técnica

A equipe da Trust Wallet está atualmente conduzindo uma verificação complexa. O método de identificação utilizado pela empresa combina múltiplos pontos de dados, como histórico de transações, informações de versão da extensão, prova de propriedade da carteira, entre outros. Cheng também apontou que há indícios de que os atacantes tinham um entendimento profundo do código-fonte da Trust Wallet, e uma investigação forense técnica está sendo conduzida paralelamente.

O valor total do prejuízo é estimado em cerca de 7 milhões de dólares (aproximadamente 11 bilhões de ienes), e os envolvidos na matriz, incluindo Chanpon Zhao, manifestaram a intenção de compensar integralmente as vítimas legítimas. No entanto, a empresa deixou claro que o processo de reembolso será realizado de forma faseada, a fim de evitar fluxo de fundos para falsos reclamantes.

Realidade das ameaças de segurança

O incidente de hacking foi causado por um código malicioso inserido na extensão do navegador Chrome (versão 2.68). Após a denúncia de pesquisadores de criptomoedas, a empresa lançou urgentemente uma versão corrigida (versão 2.69) e recomendou aos usuários que desativassem a extensão.

Um ponto importante é que não há impacto na versão móvel ou em outras versões de extensões para navegadores. A empresa respondeu rapidamente para evitar a ampliação dos danos, e em 27 de dezembro iniciou oficialmente a recepção de solicitações de vítimas através do portal de suporte oficial.

Aviso de cautela contra golpes de phishing

Com o início do procedimento de compensação, surgiram novos riscos. Foi detectada uma atividade de phishing na qual golpistas incentivam o preenchimento de formulários suspeitos sob o pretexto de compensação, e a Trust Wallet alerta que não deve responder a orientações fora da página de suporte oficial.

Para solicitar a compensação, os usuários afetados devem enviar informações como endereço de e-mail, endereço da carteira e o endereço de recebimento do atacante através de um formulário dedicado.

Aviso para toda a indústria de carteiras de gestão própria

Este incidente revelou uma vulnerabilidade das carteiras de gestão própria. Com a popularização das carteiras baseadas em extensões de navegador, há riscos de que o canal de distribuição de atualizações de software (cadeia de suprimentos) se torne uma porta de entrada para novos ataques.

Especialistas afirmam que, mesmo em carteiras de gestão própria onde o usuário mantém a chave privada, ainda há dependência centralizada na distribuição de aplicativos e atualizações de software. Eles destacam que o uso de builds reproduzíveis, o fortalecimento da verificação de integridade e a descentralização na distribuição de atualizações são essenciais para aumentar a confiabilidade. Assim, uma revisão dos padrões de segurança do setor é urgente.

A resposta da empresa pode estabelecer um importante precedente para o sistema de compensação e os métodos de verificação de segurança na indústria de carteiras de ativos digitais.