Voltar ao Blog
segurancatrust-walletcadeia-suprimentosnpmextensao-navegador
O Pesadelo de $8,5M da Trust Wallet: Por Dentro do Ataque Shai-Hulud à Cadeia de Suprimentos
Um pacote NPM comprometido levou a uma extensão Chrome maliciosa que drenou $8,5M de mais de 2.500 carteiras. Eis como ataques à cadeia de suprimentos ameaçam todo usuário cripto.
Miguel Treviño•
Resumo:
- O Ataque: Um pacote NPM malicioso ("Shai-Hulud 2.0") comprometeu a extensão Chrome da Trust Wallet, drenando $8,5M de mais de 2.500 usuários.
- A Vulnerabilidade: Ataques à cadeia de suprimentos de software visam credenciais de GitHub e App Store dos desenvolvedores, injetando código malicioso diretamente em software com atualização automática.
- O Risco das Extensões: Carteiras baseadas em navegador são particularmente vulneráveis à exfiltração devido às suas amplas permissões e atualizações automáticas contínuas (mas perigosas).
- A Solução Zelf: O design mobile-first da Zelf e a autenticação ZK Face Proof eliminam completamente o armazenamento de frases-semente — prevenindo exfiltração mesmo se um comprometimento da cadeia de suprimentos ocorrer.
Na véspera de Natal de 2025, alguém enviou uma atualização maliciosa para a extensão Chrome da Trust Wallet.
Em poucos dias, mais de $8,5 milhões foram roubados de mais de 2.500 carteiras. As vítimas não fizeram nada de errado — simplesmente tinham uma extensão de navegador com atualização automática.
O Vetor de Ataque
Não foi um exploit zero-day nem um hack de contrato inteligente. Foi um ataque à cadeia de suprimentos visando o pipeline de desenvolvimento de software.
A cadeia de eventos:
- Shai-Hulud 2.0: Um ataque massivo à cadeia de suprimentos comprometeu milhares de pacotes NPM
- Roubo de credenciais: Atacantes obtiveram secrets do GitHub e chaves de API da Chrome Web Store da Trust Wallet
- Release malicioso: A versão 2.68 foi enviada diretamente à Chrome Web Store, contornando revisão
- Exfiltração de frases-semente: O código malicioso enviou silenciosamente dados da carteira para servidores controlados pelos atacantes
Por Que Isso É Aterrorizante
Este ataque expôs uma vulnerabilidade fundamental no ecossistema cripto: a cadeia de suprimentos de software.
Toda carteira cripto, exchange e protocolo DeFi depende de:
- Pacotes NPM (bibliotecas JavaScript)
- Repositórios GitHub (código-fonte)
- Lojas de extensões de navegador (distribuição)
- Pipelines CI/CD (builds automatizados)
Comprometa qualquer elo dessa cadeia, e você pode injetar código malicioso em software usado por milhões.
O Que Foi Roubado
Os atacantes levaram:
- ~$3 milhões em Bitcoin
- ~$3 milhões em Ethereum
- $431 em Solana
- Quantias adicionais em várias altcoins
Os fundos foram rapidamente movidos através de exchanges e pontes cross-chain. A maioria nunca será recuperada.
A Resposta da Trust Wallet
Para crédito deles, a Trust Wallet agiu rapidamente:
- Revogou todas as credenciais comprometidas
- Lançou uma versão limpa (2.69) em horas
- Anunciou reembolso total para usuários afetados (apoiada pela Binance)
- Publicou relatórios detalhados do incidente
CZ confirmou que a Trust Wallet cobriria todas as perdas. Mas nem todo projeto tem os recursos da Binance.
O Problema Maior
Este ataque poderia ter acontecido com qualquer carteira baseada em navegador:
- MetaMask
- Phantom
- Rabby
- Coinbase Wallet
Todas dependem da mesma cadeia de suprimentos vulnerável. Todas atualizam automaticamente por padrão. Todas armazenam dados sensíveis que código malicioso poderia exfiltrar.
Por Que Extensões de Navegador São Arriscadas
Extensões de navegador operam em um ambiente particularmente perigoso:
- Amplas permissões: Podem ler/modificar páginas web, acessar armazenamento, interceptar requisições
- Atualizações automáticas: Novas versões são implantadas automaticamente, frequentemente sem consciência do usuário
- Exposição à cadeia de suprimentos: Uma única dependência comprometida afeta todos os usuários
- Sandbox limitado: Extensões compartilham contexto do navegador com sites sensíveis
Cada vez que instala uma extensão de carteira no navegador, você está confiando:
- Na equipe de desenvolvimento
- Em cada dependência que usam
- Em cada mantenedor dessas dependências
- No processo de revisão da loja do navegador
- Na segurança da infraestrutura de implantação
Isso é muita confiança.
A Diferença Zelf
A Zelf aborda segurança de forma fundamentalmente diferente:
1. Superfície de Ataque Mínima
Nossa arquitetura mobile-first reduz a exposição à cadeia de suprimentos. Apps mobile têm:
- Processos mais rigorosos de revisão nas lojas de apps
- Melhor sandbox entre aplicações
- Sem atualização automática sem consentimento do usuário (para atualizações críticas de segurança)
2. Sem Armazenamento de Frase-Semente
Se não há frase-semente para exfiltrar, código malicioso não pode roubá-la. A autenticação ZK Face Proof significa:
- Nada sensível armazenado no dispositivo que poderia ser extraído
- Autenticação acontece através de provas criptográficas, não segredos armazenados
3. Não-Exportabilidade Biométrica
Seu rosto não pode ser copiado e enviado para um servidor remoto (de forma utilizável). Diferente de segredos baseados em texto, autenticação biométrica é inerentemente vinculada a você.
Lições para Todo Usuário Cripto
- Minimize extensões de navegador: Cada extensão é uma superfície de ataque
- Desabilite atualizações automáticas para software crítico de segurança
- Use separação de hardware: Mantenha holdings sérios fora de carteiras conectadas ao navegador
- Verifique antes de confiar: Cheque versões de extensões contra anúncios oficiais
- Considere alternativas: Carteiras mobile com melhores modelos de segurança
O Futuro da Segurança de Carteiras
O incidente Trust Wallet prova que "não-custodial" não significa "seguro." Autocustódia é tão segura quanto o software que a implementa.
A próxima geração de carteiras precisa:
- Autenticação de conhecimento zero que não pode ser exfiltrada
- Segurança apoiada por hardware independente de cadeias de suprimentos de software
- Base mínima de computação confiável para reduzir superfície de ataque
É exatamente isso que a Zelf está construindo.