¡Trust Wallet sufrió una importante vulnerabilidad de seguridad! No importe frases mnemotécnicas y actualice a 2.69 lo antes posible, le han robado al menos 6 millones de dólares

Trust Wallet confirmó esta mañana que la versión 2.68 de la extensión del navegador tiene una vulnerabilidad fatal, que provocará pérdidas en la cadena y los usuarios deben actualizar inmediatamente a la versión 2.69.
(Resumen preliminar: el retweet de CZ detonó el token TWT de Trust Wallet disparándose en un 40%; señalando la era de mil millones de usuarios de Web3)
(Suplemento de antecedentes: ¿Qué es el WaaS "Wallet as a Service" lanzado por Trust Wallet, análisis de ventajas y desventajas, puede convertirse en algo común en el futuro? )

Monedero de criptomonedas Trust Wallet Se emitió una importante alerta de seguridad alrededor de las 6 a.m. de hoy (26), confirmando que la versión 2.68 de su extensión de navegador tiene una vulnerabilidad grave, lo que provoca la salida de activos del usuario. El seguimiento del detective en cadena ZachXBT muestra que el número de víctimas ha llegado a cientos, y la pérdida se estimó inicialmente en unos 6 millones de dólares.

Para los usuarios que aún no han actualizado a la versión 2.69 de la extensión, no abran la extensión del navegador hasta que la hayan actualizado. Esto puede ayudar a garantizar la seguridad de su billetera y evitar más problemas.

— Trust Wallet (@TrustWallet) 26 de diciembre de 2025

Detalles de la vulnerabilidad y escala de pérdidas

El aviso oficial señaló que los objetos afectados son usuarios que tienen la versión instalada 2.68 extensiones en la versión móvil. Trust Wallet enfatizó en el anuncio:

"Hemos lanzado un parche para la versión 2.69, por favor, todos los usuarios de extensiones de navegador la actualicen inmediatamente".

Si también es usuario de Trust Wallet y ha instalado la versión 2.68, "No importe la frase mnemotécnica" y es mejor actualizar a través del enlace oficial de Chrome Online App Store. Las frases mnemotécnicas importadas en un entorno contaminado se tratan mejor como fugas, y es mejor crear una nueva billetera y migrar el saldo (se recomienda transferir los activos a billeteras de otras marcas antes de que el problema oficial se resuelva por completo).

El script malicioso 4482.js se coló a través de actualizaciones oficiales

Se entiende que el atacante insertó un archivo llamado 4482.js durante el proceso de empaquetado y afirmó ser utilizado para "Analytics". Cuando detecta que el usuario ingresa la frase mnemotécnica, envía los datos al dominio registrado metrics-trustwallet.com y luego utiliza scripts automatizados para retirar rápidamente activos de la cadena compatible con EVM, Bitcoin y Solana.

En la actualidad, las víctimas individuales han informado de pérdidas que van desde decenas de miles hasta cientos de miles de dólares. Continuaremos rastreando el siguiente paso oficial para una posible compensación.