Back to Blog

#7 Incidente de Trust Wallet: Una Clave API Robada Convierte el Canal Oficial de Actualizaciones en una Puerta Trasera

Code Auditing
February 12, 2026
6 min read

El 25 de diciembre de 2025, Trust Wallet sufrió una brecha de seguridad crítica en su extensión de Chrome (v2.68), que resultó en el robo de aproximadamente 8,5 millones de dólares en fondos de usuarios.

La causa raíz fue una puerta trasera maliciosa inyectada en la extensión, originada a partir de un ataque a la cadena de suministro que comprometió el proceso estándar de lanzamiento del proyecto. El método de puerta trasera inyectado sube las frases semilla de los usuarios a un servidor controlado por el atacante, comprometiendo cualquier billetera generada o importada usando esta versión específica de la extensión. El atacante posteriormente drenó los fondos de los usuarios en múltiples cadenas y los redirigió hacia exchanges sin KYC.

Antecedentes

La extensión de Chrome de Trust Wallet está diseñada como una billetera típica de autocustodia, que permite a los usuarios crear o importar billeteras existentes. En el núcleo de cualquier billetera de criptomonedas se encuentra la frase semilla, también conocida como mnemónico. Es una representación legible por humanos de la clave privada de la billetera. Esta frase semilla puede derivar de forma determinista todas las claves privadas asociadas a la billetera, lo que la convierte en el secreto más crítico que posee un usuario. Cualquier persona con acceso a una frase semilla obtiene control total sobre todos los fondos de la billetera.

Para garantizar que las frases semilla estén bajo autocustodia segura, la extensión de Trust Wallet las almacena localmente en forma cifrada usando algoritmos criptográficos. Solo pueden descifrarse ante una solicitud legítima del usuario con autenticación adecuada. Este proceso requiere que los usuarios se autentiquen con su biometría o contraseña, según el método que configuren. En una billetera de autocustodia que funciona correctamente, las frases semilla descifradas se usan exclusivamente dentro del entorno local de la extensión y nunca se transmiten a servidores externos.

Análisis de la vulnerabilidad

La vulnerabilidad se origina en el flujo de desbloqueo de la billetera, específicamente a través de los métodos biométrico y por contraseña. Durante una operación de desbloqueo, las frases semilla se recopilan como datos analíticos y se envían a un dominio controlado por el atacante que se hace pasar por un endpoint legítimo. Dado que el mecanismo de explotación es idéntico para ambos métodos, tomaremos la vía biométrica como ejemplo para ilustrar la vulnerabilidad.

El siguiente análisis y las capturas de pantalla se basan en el código fuente desofuscado.

Recuperación de frases semilla descifradas

El código malicioso fue inyectado en la función de desbloqueo en el archivo 8423.js, que gestiona el desbloqueo de la billetera y el descifrado de la frase semilla tras la autenticación del usuario. En la lógica de desbloqueo, el atacante incorporó un mecanismo de recopilación de análisis aparentemente benigno. Como se resalta en el siguiente fragmento de código, la recuperación de las frases semilla se colocó inmediatamente después del flujo de autenticación normal. Recorre todas las billeteras, extrayendo las frases semilla descifradas y almacenándolas en una variable engañosamente llamada errorMessage. Estos datos se incrustan luego dentro de una propiedad error en los objetos de eventos analíticos.

El mismo patrón malicioso aparece en el flujo de desbloqueo por contraseña (líneas 485-527), reemplazando la autenticación biométrica por descifrado basado en contraseña.

Transmisión de datos sensibles

Una vez que las frases semilla fueron recopiladas y empaquetadas como datos analíticos, se enrutaron a través de una infraestructura de análisis de PostHog. Dicha infraestructura fue introducida deliberadamente por el atacante en v2.68 para la transmisión de datos. A través de esta vía, los datos analíticos que contienen las frases semilla se envían a un envoltorio del servicio de análisis, que invoca el método capture() de PostHog para generar objetos de eventos. Los eventos se ponen en cola y se agrupan, luego se serializan en formato JSON. La carga útil JSON se comprime y se transmite mediante una solicitud HTTP POST al servidor del atacante.

El archivo 4482.js revela una configuración de PostHog que enruta los datos analíticos a api.metrics-trustwallet.com. Este dominio fue registrado específicamente por el atacante para imitar un endpoint legítimo de análisis de Trust Wallet.

Realizando pruebas con la extensión v2.68, capturamos y analizamos una solicitud sospechosa activada durante las operaciones de desbloqueo de la billetera. La solicitud envía datos comprimidos con GZIP al endpoint controlado por el atacante, que puede descomprimirse para extraer las frases semilla en texto plano.

Análisis del ataque

El proceso de ataque abarcó aproximadamente un mes desde la preparación inicial hasta la explotación final, desarrollándose en tres etapas:

  1. Comprometer la clave API de Chrome Web Store (CWS)

  2. Desplegar la extensión que contiene código malicioso

  3. Robar fondos de las billeteras de usuarios comprometidas

Etapa 1: Comprometer la clave API de CWS

La historia comenzó con un ataque generalizado a la cadena de suministro en noviembre, conocido como "Shai-Hulud 2.0" [2]. Esta campaña apuntaba a entornos de desarrollo a través de NPM (Node Package Manager), instalando puertas traseras en numerosos paquetes NPM legítimos. Cuando los desarrolladores instalaban estos paquetes comprometidos, el código malicioso se ejecutaba en sus sistemas para robar credenciales sensibles y tokens de autenticación.

A través de este ataque a la cadena de suministro, el atacante obtuvo la clave API de Chrome Web Store (CWS) de Trust Wallet. Esta clave es particularmente crítica porque permitía subir directamente compilaciones de extensiones a Chrome Web Store, eludiendo por completo las aprobaciones y revisiones internas de Trust Wallet en el proceso estándar de lanzamiento.

Etapa 2: Publicar la extensión con código malicioso

En diciembre de 2025, con la clave API de CWS robada en su poder, el atacante implementó su infraestructura de ataque:

  1. Registrar el dominio malicioso metrics-trustwallet.com (y el subdominio api.metrics-trustwallet.com) para alojar el endpoint de recopilación de datos.

  2. Inyectar código de puerta trasera en los flujos de desbloqueo de la billetera y modificar la configuración de análisis de PostHog para dirigir los datos a su servidor.

  3. Subir la extensión maliciosa directamente a Chrome Web Store usando la clave API robada, eludiendo el proceso estándar de lanzamiento.

La versión maliciosa 2.68 superó satisfactoriamente la revisión automática de Chrome y fue publicada en la tienda, apareciendo como una actualización legítima desde la cuenta oficial del desarrollador.

Etapa 3: Robar fondos de las billeteras de usuarios comprometidas

Cuando los usuarios desbloqueaban sus billeteras usando esta extensión vulnerable, sus frases semilla eran transmitidas silenciosamente a api.metrics-trustwallet.com, el servidor controlado por el atacante. Con acceso completo a estas frases semilla, los atacantes obtuvieron control total sobre las billeteras de las víctimas.

En lugar de drenar los fondos de inmediato —lo que habría desencadenado una detección rápida—, los atacantes ejercieron paciencia, permitiendo que el grupo de víctimas se expandiera mientras mantenían el sigilo.

A partir del 25 de diciembre, el atacante inició la extracción sistemática de fondos de las billeteras comprometidas. La operación afectó aproximadamente a 2.520 direcciones de billetera distintas en 10 cadenas de bloques diferentes.

Resumen

Esta brecha sirve como un recordatorio contundente de que la seguridad debe abarcar todo el ciclo de vida del protocolo, incluido el desarrollo y el despliegue. En 2025, los ataques a la cadena de suministro emergieron como la amenaza más destructiva para la infraestructura de criptomonedas, con tan solo dos incidentes (incluido el hackeo de Bybit por 1.500 millones de dólares en febrero) que causaron pérdidas significativas. Más allá de las auditorías de contratos inteligentes, los protocolos deben asegurar sus canales de compilación, proteger las credenciales de los desarrolladores y mantener una monitorización continua para salvaguardar los activos de los usuarios.

Referencias

  1. Informe oficial post-mortem
  2. Shai-Hulud 2.0

Acerca de BlockSec

BlockSec es un proveedor integral de seguridad blockchain y cumplimiento cripto. Desarrollamos productos y servicios que ayudan a los clientes a realizar auditorías de código (incluidos contratos inteligentes, blockchain y billeteras), interceptar ataques en tiempo real, analizar incidentes, rastrear fondos ilícitos y cumplir con las obligaciones de AML/CFT, a lo largo de todo el ciclo de vida de protocolos y plataformas.

BlockSec ha publicado múltiples artículos de seguridad blockchain en conferencias de prestigio, ha reportado varios ataques de día cero en aplicaciones DeFi, ha bloqueado múltiples hackeos para rescatar más de 20 millones de dólares y ha asegurado miles de millones en criptomonedas.

Sign up for the latest updates
~$5.98M Perdidos: Aztec, Raydium y Más | BlockSec Semanal
Security Insights

~$5.98M Perdidos: Aztec, Raydium y Más | BlockSec Semanal

Este informe semanal de seguridad blockchain cubre del 8 al 15 de junio de 2026, analizando 4 incidentes en Ethereum y Solana con pérdidas de ~$5.98M, incluyendo Aztec Connect y Raydium, con fallos de validación explotados tras años activos.

Análisis del Error de Solidez en Zcash Orchard | BlockSec Weekly
Security Insights

Análisis del Error de Solidez en Zcash Orchard | BlockSec Weekly

Vulnerabilidad crítica en el circuito Orchard de Zcash divulgada en junio de 2026: restricción faltante en halo2 permitía falsificación indetectable de ZEC mediante doble gasto. Existió 4 años desde mayo 2022, descubierta por IA (Opus 4.8) y corregida con actualización NU6.2.

Boletín informativo - Mayo 2026
Security Insights

Boletín informativo - Mayo 2026

En mayo de 2026, DeFi sufrió tres incidentes: Echo Protocol perdió ~$76.7M por compromiso de clave admin; StablR ~$12.8M por brecha multisig; y el puente Verus-Ethereum ~$11.7M por fallo de validación de tipos.

Best Security Auditor for Web3

Validate design, code, and business logic before launch. Aligned with the highest industry security standards.

BlockSec Audit