La alerta de seguridad de hoy me ha puesto los pelos de punta: el gigante Trust Wallet, con 200 millones de descargas y 17 millones de usuarios activos mensuales, ha sido expuesto por una vulnerabilidad oficial en su complemento de navegador, lo que ha causado pérdidas a los usuarios de al menos 6 millones de dólares. Lo más irónico es que, mientras luchamos por alejarnos de los intercambios centralizados y adoptar billeteras 'no custodiales' en busca de autonomía sobre nuestros activos, descubrimos que el complemento de la billetera en sí puede convertirse en una 'puerta giratoria' para que los hackers entren y salgan a su antojo.
Esta no es solo una crisis de Trust Wallet, sino un cuestionamiento profundo sobre todo el método de almacenamiento descentralizado: nuestras claves privadas, que supuestamente controlamos, ¿están realmente guardadas en una caja fuerte o expuestas en una sala de cristal?
Uno, núcleo del evento: gran revelación de la "historia oscura" de la seguridad de las billeteras principales.
Este evento no es aislado, sino una explosión concentrada de problemas de seguridad en billeteras de complemento. El viejo Shi ha organizado para ti los casos clave de los últimos años, para que veas quién es la "zona de desastre":
Nombre de la billetera Impacto de eventos de seguridad recientes y actitudes oficiales/medidas de remediación Trust Wallet 1. 26 de diciembre de 2025: vulnerabilidad en la versión 2.68 del complemento del navegador, cientos de usuarios robados, pérdidas superiores a 6 millones de dólares.
2. Noviembre de 2022: vulnerabilidad en WebAssembly, afecta a las billeteras creadas en períodos específicos. Impacto más amplio, pérdidas más grandes. Una base de más de 200 millones de usuarios significa un gran número de posibles víctimas. Se emitió una alerta, aún no se ha anunciado un plan de compensación (en contraste con la rápida compensación total de 2022). MetaMask 1. En 2022, vulnerabilidad "Demonic" (versiones antiguas).
2. 2023-2025: las principales amenazas provienen de "programas de extensión falsos" y ataques de phishing, no del complemento en sí. Los complementos oficiales son relativamente seguros, pero los usuarios a menudo son perjudicados por software clon, lo que lleva a un aumento "anómalo" de robos. Se emite un informe de seguridad mensual, educando a los usuarios sobre cómo prevenir phishing. Phantom 1. Afectado por la vulnerabilidad "Demonic" de 2022.
2. A principios de 2025: los usuarios perdieron 500,000 dólares debido a que las claves privadas no se almacenaron encriptadas en la memoria, se presentó una demanda colectiva contra Phantom. Desató una controversia legal sobre los "límites de responsabilidad de seguridad de billeteras no custodiales". Niega enérgicamente las acusaciones, afirmando que la demanda es "infundada", enfatizando que la responsabilidad recae en los usuarios. Rabby Wallet 2022: la vulnerabilidad provino de su función integrada "Rabby Swap", y no del núcleo del complemento. Pérdidas de aproximadamente 200,000 dólares. Se explica el alcance de la vulnerabilidad, se repara la función Swap.
Resumen en una frase del viejo Shi: la mayor amenaza actual ha pasado de "vulnerabilidades oficiales" a "aplicaciones clonadas" y "ataques de phishing". Pero el incidente de Trust Wallet demuestra que las vulnerabilidades subyacentes en los complementos oficiales siguen siendo un riesgo de nivel catastrófico.
Dos, decodificación profunda: ¿cómo desaparecieron tus activos "de la nada"?
Para prevenir, primero debes entender cómo los hackers ejecutan su "combinación de ataques".
Ruta de ataque uno: programas de extensión falsos (los más comunes y más insidiosos).
Método: los hackers suben complementos maliciosos que son casi idénticos en íconos, nombres y descripciones a MetaMask y Trust Wallet en plataformas como la tienda de Firefox.
Trampa: después de que el usuario lo descarga, se le guía para importar o crear una billetera. Todas las operaciones parecen normales, pero la clave privada o la frase de recuperación se envían al hacker en el instante de su generación.
Estado actual: en 2025, este tipo de incidentes estallará en la tienda de Firefox, convirtiéndose en la principal causa de la pérdida de activos de los usuarios.
Ruta de ataque dos: ataques de phishing (los más comunes, los que más ponen a prueba la naturaleza humana).
Método: a través de sitios web de airdrop falsos, servicio al cliente falso, ventanas emergentes de actualización de billetera, etc., se te induce a conectar tu billetera y firmar transacciones maliciosas.
Núcleo: te engañan para que autorices con tus propias manos. Una vez que firmes, los activos se transferirán instantáneamente.
Datos: el informe de Chainalysis muestra que en 2025, los robos masivos de usuarios de MetaMask se originaron aquí.
Ruta de ataque tres: vulnerabilidades en complementos oficiales (las más mortales y difíciles de prevenir).
Método: como en el caso de Trust Wallet, existen vulnerabilidades en el código que pueden ser explotadas, los hackers pueden robar activos de forma remota sin ninguna acción por parte del usuario.
Naturaleza: esto equivale a que la billetera dejó una "puerta trasera" para sí misma. Sin importar cuán cauteloso seas, no puedes prevenirlo.
Lección: es crucial elegir una billetera con una larga historia, auditada estrictamente, y con un buen historial de recompensas por vulnerabilidades y compensaciones.
Tres, guía de autoayuda urgente: tres pasos para proteger tus activos.
Antes de que las vulnerabilidades se reparen completamente, todos los usuarios de complementos de Trust Wallet deben actuar de inmediato.
Primer paso: detener y aislar inmediatamente (lo más crítico)
Detén inmediatamente el uso del complemento del navegador de Trust Wallet para realizar cualquier transacción o autorización.
Bajo la premisa de asegurar que la computadora no tenga virus troyanos, utiliza la APP móvil de Trust Wallet (este incidente de vulnerabilidad solo afecta al complemento del navegador) para transferir todos los activos a una nueva dirección de billetera creada (se recomienda usar una billetera de hardware de otra marca o una nueva billetera de MetaMask creada).
Nunca importes la frase de recuperación original a otras billeteras de software, para prevenir que la vulnerabilidad implique la filtración de la frase de recuperación.
Segundo paso: revisión de seguridad integral (debe hacerse por todos los usuarios).
Verifica la fuente de las extensiones: revisa de inmediato todos los complementos de billetera instalados. Mantén solo las versiones descargadas de fuentes oficiales como la "Chrome Web Store", desinstala cualquier complemento de sitios web o tiendas de terceros.
Revisa las autorizaciones: utiliza regularmente herramientas como Revoke.cash, Debank, etc., para verificar y cancelar todas las autorizaciones innecesarias, especialmente las de DApp sin límite.
Actualiza y aísla: asegúrate de que todos los complementos estén actualizados a la última versión. Considera usar un navegador especializado o el modo de privacidad del navegador para operaciones criptográficas, aisladas del uso diario de navegación.
Tercer paso: actualizar la configuración de seguridad (estrategia a largo plazo).
La billetera de hardware es la respuesta definitiva: para grandes activos, debes usar billeteras de hardware como Ledger, Trezor, etc. Las claves privadas nunca deben tocar la red, eliminando físicamente la posibilidad de robo remoto.
Habilitar autenticación multifactor: para billeteras o exchanges que lo soporten, activa todas las posibles autenticaciones multifactor (2FA).
Establecer disciplina operativa: desconfía siempre de los enlaces que parecen "caer del cielo"; verifica manualmente siempre las direcciones del sitio web oficial; nunca reveles tu frase de recuperación a nadie.
Cuatro, reflexión de la industria: el "paradoja de la confianza" en billeteras no custodiales.
Este incidente expone una profunda contradicción en la industria: usamos billeteras "no custodiales" para no confiar en ningún tercero, pero al final debemos confiar profundamente en la calidad del código y la ética de seguridad del equipo de desarrollo de la billetera.
Definición de responsabilidades confusa: como se muestra en el caso de la demanda contra Phantom, cuando ocurren pérdidas, la parte de la billetera puede alegar "no custodial" para desvincularse de la responsabilidad, dificultando enormemente la defensa de los derechos del usuario.
Riesgo de transferencia centralizada: pasamos de preocuparnos por la "quiebra de los exchanges" a preocuparnos por "fallos en las billeteras" y "fallos en la revisión de las tiendas de aplicaciones". El riesgo nunca ha desaparecido, solo ha cambiado de forma.
El viejo Shi lo deja claro: no existe una seguridad absoluta y tonta. La verdadera seguridad es un sistema de defensa dinámica construido conjuntamente por "almacenamiento en frío de hardware + hábitos operativos prudentes + aprendizaje continuo sobre seguridad".
Cinco, conclusión del viejo Shi: la seguridad es una guerra que nunca termina.
La vulnerabilidad de 6 millones de dólares de Trust Wallet nos vuelve a sonar la alarma más ensordecedora: en el mundo de las criptomonedas, el mayor riesgo a menudo no es la caída del mercado, sino tu ingenua imaginación sobre la palabra "seguridad".
La pregunta del alma del viejo Shi: cuando la última línea de defensa de nuestra riqueza ya no es la caja de seguridad del banco, sino un código abierto que puede tener vulnerabilidades, escrito por un equipo anónimo, ¿realmente estamos abrazando la libertad financiera o participando en un cruel juego de supervivencia de asimetría técnica?
¿Qué piensan ustedes? En un contexto donde las billeteras "no custodiales" tienen problemas frecuentes, ¿cómo debería equilibrar la gente común la conveniencia y la seguridad? ¿Por esta vez, transferirás completamente tus activos a una billetera de hardware? En la sección de comentarios, espero sus elecciones reales y lecciones dolorosas.
Soy el viejo Shi de al lado, un advertidor que no quiere que te conviertas en un número en las estadísticas de incidentes de seguridad.
Sígueme, no solo hablemos de cómo ganar dinero, sino también de cómo protegerlo.$BTC
