Uno script nascosto scoperto a raccogliere chiavi private mentre Trust Wallet emette un avviso d'emergenza per gli utenti Chrome

Trust Wallet ha consigliato agli utenti di disabilitare la versione 2.68 della sua estensione per browser Chrome dopo che la società ha riconosciuto un incidente di sicurezza e ha rilasciato la versione 2.69 il 25 dicembre, a seguito di segnalazioni di svuotamenti di wallet legati all'aggiornamento del 24 dicembre.

Secondo le vittime e i ricercatori, i furti hanno iniziato a essere segnalati subito dopo il rilascio della 2.68. I primi conteggi pubblici hanno stimato le perdite in un intervallo compreso tra 6 milioni e oltre 7 milioni di dollari su più blockchain.

L'elenco sul Chrome Web Store mostra la versione 2.69 dell'estensione Trust Wallet come “Aggiornata: 25 dicembre 2025”, ancorando il timing della patch del fornitore al giorno in cui l'incidente è diventato di dominio pubblico.

Lo stesso elenco indica circa 1.000.000 di utenti. Questo rappresenta il limite massimo potenziale di diffusione.

L'esposizione pratica dipende da quante persone hanno installato la 2.68 e inserito dati sensibili mentre era attiva.

Le indicazioni di Trust Wallet si sono concentrate sul rilascio dell'estensione del browser. L'azienda ha dichiarato che gli utenti mobile e le altre versioni dell'estensione non sono stati interessati.

I report finora si sono concentrati su una specifica azione dell'utente durante la finestra della 2.68.

I ricercatori segnalano rischi elevati legati all'aggiornamento dell'estensione browser di Trust Wallet

Ricercatori e analisti di incidenti hanno collegato il rischio maggiore agli utenti che hanno importato o inserito una seed phrase dopo aver installato la versione coinvolta. Una seed phrase può sbloccare indirizzi attuali e futuri derivati da essa.

L'articolo ha anche riportato che i ricercatori che hanno analizzato il pacchetto 2.68 hanno evidenziato una logica sospetta in un file JavaScript, inclusi riferimenti a un file denominato “4482.js”.

Essi hanno affermato che tale logica potrebbe trasmettere i segreti dei wallet a un host esterno. I ricercatori hanno anche avvertito che gli indicatori tecnici erano ancora in fase di raccolta mentre venivano pubblicati i risultati delle indagini.

La stessa copertura ha avvertito di truffe secondarie, inclusi domini “fix” imitativi. Questi tentativi cercano di ingannare gli utenti inducendoli a fornire le proprie recovery phrase sotto la falsa promessa di una soluzione.

Per gli utenti, la differenza tra aggiornamento e rimedio è fondamentale.

L'aggiornamento alla 2.69 può rimuovere comportamenti sospetti o dannosi dall'estensione per il futuro. Non protegge automaticamente gli asset se una seed phrase o una chiave privata è già stata compromessa.

In tal caso, i passaggi standard di risposta all'incidente includono lo spostamento dei fondi verso nuovi indirizzi creati da una nuova seed phrase. Gli utenti dovrebbero anche controllare e revocare le approvazioni dei token dove possibile.

Gli utenti dovrebbero considerare come sospetto qualsiasi sistema che abbia gestito la frase finché non viene ricostruito o verificato come pulito.

Queste azioni possono essere costose dal punto di vista operativo per gli utenti retail. Richiedono di ristabilire le posizioni su più blockchain e applicazioni.

In alcuni casi, comportano anche una scelta tra rapidità e precisione quando i costi del gas e i rischi di bridging fanno parte del percorso di recupero.

L'episodio mette anche in luce il modello di fiducia delle estensioni browser.

Le estensioni si trovano in un punto sensibile tra web app e flussi di firma

Qualsiasi compromissione può prendere di mira gli stessi input su cui gli utenti si basano per verificare una transazione.

La ricerca accademica sulla rilevazione delle estensioni nel Chrome Web Store ha descritto come estensioni dannose o compromesse possano eludere la revisione automatica. Ha anche illustrato come la rilevazione possa peggiorare man mano che le tattiche degli attaccanti evolvono nel tempo.

Secondo un articolo su arXiv riguardante la rilevazione supervisionata tramite machine learning di estensioni malevole, il “concept drift” e i comportamenti in evoluzione possono ridurre l'efficacia degli approcci statici. Questo diventa un punto concreto quando un aggiornamento di un'estensione wallet è sospettato di raccogliere segreti tramite logica offuscata lato client.

Le prossime dichiarazioni di Trust Wallet definiranno i confini su come si concluderà la vicenda.

Un'analisi post-mortem del fornitore che documenti la causa radice, pubblichi indicatori verificati (domini, hash, identificativi del pacchetto) e chiarisca la portata aiuterebbe fornitori di wallet, exchange e team di sicurezza a sviluppare controlli mirati e istruzioni per gli utenti.

In assenza di ciò, il totale degli incidenti tende a rimanere instabile. Le segnalazioni delle vittime possono arrivare in ritardo, il clustering on-chain può essere raffinato e gli investigatori possono ancora stabilire se diversi drainers condividano l'infrastruttura o siano semplici imitatori opportunisti.

I mercati dei token hanno reagito alla notizia con movimenti, ma senza una riprezzatura unidirezionale.

Le ultime quotazioni disponibili per Trust Wallet Token (TWT) mostravano un ultimo prezzo di $0,83487, in aumento di $0,01 (0,02%) rispetto alla chiusura precedente. I dati mostravano un massimo intraday di $0,8483 e un minimo intraday di $0,767355.

La contabilizzazione delle perdite rimane variabile. Il miglior punto di riferimento pubblico attuale è la fascia tra 6 milioni e oltre 7 milioni di dollari riportata nelle prime 48-72 ore dopo la diffusione della 2.68.

Quella fascia può ancora variare per motivi ordinari nelle indagini sui furti

Questi includono segnalazioni tardive delle vittime, riclassificazione degli indirizzi e migliore visibilità su swap cross-chain e percorsi di cash-out.

Un intervallo prospettico pratico per le prossime due-otto settimane può essere delineato come scenari legati a variabili di oscillazione misurabili. Questi includono se il percorso di compromissione si sia limitato all'inserimento della seed su 2.68, se vengano confermati percorsi di cattura aggiuntivi e quanto rapidamente vengano rimossi i domini “fix” imitativi.

L'incidente avviene in un contesto di crescente attenzione su come il software crypto rivolto al retail gestisca i segreti su dispositivi di uso generale.

Le segnalazioni di furti nel 2025 sono state abbastanza significative da attirare l'attenzione di policy e piattaforme.

Gli incidenti legati alla distribuzione del software rafforzano anche le richieste di controlli sull'integrità delle build, incluse build riproducibili, firma a chiave divisa e opzioni di rollback più chiare quando è necessario un hotfix.

Per le estensioni wallet, la conseguenza pratica a breve termine è più semplice. Gli utenti devono decidere se abbiano mai inserito una seed phrase mentre la 2.68 era installata, poiché questa singola azione determina se l'aggiornamento sia sufficiente o se sia necessario ruotare i segreti e trasferire i fondi.

Le indicazioni di Trust Wallet rimangono di disabilitare l'estensione 2.68 e aggiornare alla 2.69 dal Chrome Web Store.

Gli utenti che hanno importato o inserito una seed phrase mentre utilizzavano la 2.68 dovrebbero considerare quella seed compromessa e migrare gli asset su un nuovo wallet.

Trust Wallet ha ora confermato che circa 7 milioni di dollari sono stati coinvolti nell'incidente della versione 2.68 dell'estensione Chrome e che rimborserà tutti gli utenti interessati.

In una dichiarazione pubblicata su X, l'azienda ha affermato che sta finalizzando il processo di rimborso e fornirà presto istruzioni sui prossimi passaggi. Trust Wallet ha inoltre invitato gli utenti a non interagire con messaggi che non provengono dai suoi canali ufficiali, avvertendo che i truffatori potrebbero tentare di impersonare il team durante le operazioni di rimedio.

L'articolo Hidden script caught harvesting private keys as Trust Wallet issues emergency warning for Chrome users è apparso per la prima volta su CryptoSlate.