# Trust Wallet > cryptocurrency-wallet · Vendor: [[_trustwallet|Trust Wallet]] > [!latam] Presença no Brasil e LATAM > O Trust Wallet é um dos wallets de criptomoedas mais populares no Brasil e em toda a América Latina, onde a adoção de criptoativos é expressiva. O Brasil é o 4º maior mercado cripto do mundo e o Trust Wallet ocupa posição de destaque entre usuários de **DeFi** e **Web3** na região. O incidente de dezembro de 2025 (Sha1-Hulud) afetou diretamente usuários brasileiros, com perdas estimadas em dezenas de milhares de dólares no país. A **ANPD** (Autoridade Nacional de Proteção de Dados) recebeu notificações relacionadas ao incidente. ## Visão Geral **Trust Wallet** é uma carteira de criptomoedas não-custodial com mais de 220 milhões de usuários, oferecendo suporte a Bitcoin, Ethereum, Solana e milhares de tokens via aplicativo móvel e extensão para Google Chrome. A empresa é subsidiária da Binance. **Dados do produto:** - Categoria: Carteira de criptomoedas (hot wallet) - Vendor: [[_trustwallet|Trust Wallet (Binance)]] - Presença no Brasil/LATAM: Alta - um dos wallets mais populares na região - Versão segura: 2.69 (Chrome Extension) Em dezembro de 2025, a extensão Chrome do Trust Wallet sofreu um **ataque de supply chain** devastador vinculado ao incidente Sha1-Hulud, resultando no roubo de aproximadamente **$8,5 milhões** em ativos digitais de 2.520 carteiras. ## Incidente Supply Chain - Sha1-Hulud (Dezembro 2025) > [!danger] Supply Chain Attack via npm > Atacantes obtiveram acesso ao código-fonte da extensão e a API key do Chrome Web Store através do incidente Sha1-Hulud (ataque supply chain contra pacotes npm em novembro 2025), permitindo públicar uma versão trojanizada diretamente na Chrome Web Store sem revisão interna. ### Timeline do Ataque | Data | Evento | |------|--------| | Nov 2025 | Incidente **Sha1-Hulud** compromete 180+ pacotes npm; secrets do GitHub da Trust Wallet expostos | | 08 dez 2025 | Atacante registra domínio `metrics-trustwallet[.]com` e prepara infraestrutura | | 24 dez 2025 | Versão maliciosa **v2.68** públicada na Chrome Web Store via API key roubada | | 25 dez 2025 | Primeiras drenagens de carteiras reportadas por ZachXBT e comunidade cripto | | 25-26 dez 2025 | White-hats lançam DDoS contra domínio malicioso para minimizar vítimas | | 26 dez 2025 | Trust Wallet pública versão limpa **v2.69** e suspende credenciais comprometidas | | 30 dez 2025 | Trust Wallet pública post-mortem completo vinculando ao Sha1-Hulud | ### Mecanismo do Ataque O código malicioso na versao 2.68 operava da seguinte forma: 1. **Ativação:** O backdoor ativava em **cada desbloqueio** da extensão - não apenas durante importação de seed phrase 2. **Coleta:** Iterava por **todas as carteiras** configuradas na conta do usuário (não apenas a ativa) 3. **Disfarce:** Seed phrases eram embutidas em um campo `errorMessage` dentro do que parecia ser telemetria padrão de desbloqueio 4. **Exfiltração:** Dados enviados para `api.metrics-trustwallet[.]com` (IP: 138.124.70.40, hospedado na Stark Industries Solutions) 5. **Abuso de biblioteca:** Utilizava a biblioteca de analytics **PostHog** como canal de exfiltração ### Impacto | Metrica | Valor | |---------|-------| | Carteiras comprometidas | 2.520 enderecos | | Valor total roubado | ~$8,5 milhões | | Blockchains afetados | Bitcoin, Ethereum, Solana, EVM-compativeis | | Enderecos do atacante | 17 carteiras identificadas | | Período de exposicao | 24-26 dezembro 2025 | ### Destino dos Fundos Roubados | Destino | Valor | |---------|-------| | ChangeNOW (CEX) | ~$3,3 milhões | | Carteiras do atacante | ~$2,8 milhões | | KuCoin | ~$447 mil | | FixedFloat | ~$340 mil | | Tornado Cash (mixer) | ~1.337 ETH | ## Attack Flow ```mermaid graph TB A["Sha1-Hulud:<br/>pacotes npm comprometidos"] --> B["Secrets do GitHub<br/>da Trust Wallet expostos"] B --> C["Atacante obtem código-fonte<br/>+ Chrome Web Store API key"] C --> D["Preparação: dominio malicioso<br/>metrics-trustwallet.com"] D --> E["Publicacao: v2.68 maliciosa<br/>na Chrome Web Store"] E --> F["Backdoor ativa em<br/>cada desbloqueio"] F --> G["Seed phrases exfiltradas<br/>via PostHog analytics"] G --> H["Drenagem: $8.5M<br/>de 2.520 carteiras"] style A fill:#ffc107,color:#000 style E fill:#dc3545,color:#fff style H fill:#dc3545,color:#fff ``` ## Técnicas MITRE ATT&CK | Técnica | ID | Uso no Ataque | |---------|----|---------------| | Supply Chain Compromise: Software Dependencies | [[t1195-002-supply-chain-compromise\|T1195]].001 | Sha1-Hulud comprometeu dependências npm | | Supply Chain Compromise: Software Supply Chain | [[t1195-002-supply-chain-compromise\|T1195]].002 | Publicacao de extensao trojanizada via API key roubada | | Input Capture: Credential API Hooking | [[t1056-input-capture\|T1056]].004 | Interceptação de seed phrases durante desbloqueio | | Exfiltration Over Web Service | [[t1567-exfiltration-over-web-service\|T1567]] | Exfiltração via dominio disfarçado de analytics | | Data from Local System | [[t1005-data-from-local-system\|T1005]] | Coleta de todas as carteiras configuradas | ## Indicadores de Comprometimento (IoCs) | Tipo | Valor | |------|-------| | Dominio | `metrics-trustwallet[.]com` | | Dominio | `api.metrics-trustwallet[.]com` | | IP | `138.124.70.40` (Stark Industries Solutions) | | Versao maliciosa | Trust Wallet Browser Extension v2.68 | | Arquivo malicioso | `4482.js` (disfarçado de analytics PostHog) | ## Lições Aprendidas - **Extensões de navegador** operam com permissões elevadas e são alvos de alto valor para supply chain attacks - **API keys** de marketplaces (Chrome Web Store) devem ser tratadas como credenciais críticas com rotação regular - **Separação de hot/cold wallets:** Fundos de longo prazo devem ser mantidos em hardware wallets, não em extensões de navegador - **Revisão de releases:** Publicação automática via API sem revisão interna é um risco crítico ## Notas Relacionadas **Vendor:** [[_trustwallet|Trust Wallet]] **Incidente relacionado:** Sha1-Hulud supply chain attack (npm) **Técnicas:** [[t1195-002-supply-chain-compromise|T1195]] · [[t1056-input-capture|T1056]] · [[t1567-exfiltration-over-web-service|T1567]] · [[t1005-data-from-local-system|T1005]] **Contexto:** Ataques supply chain a Web3 representaram 20% dos hacks cripto em 2025, com perdas totais superiores a $1,5 bilhao