Notizie di BlockBeats, 26 dicembre, questa mattina Trust Wallet, il portafoglio crittografico non-custodial con la base utenti più ampia, ha emesso ufficialmente un allarme di sicurezza, confermando una vulnerabilità nella versione dell’estensione browser 2.68. L’investigatore on-chain ZachXBT ha rivelato che centinaia di utenti di Trust Wallet hanno subito il furto dei propri fondi, con perdite che ammontano ad almeno 6 milioni di dollari. Trust Wallet ha accumulato oltre 200 milioni di download, con circa 17 milioni di utenti attivi mensili, detenendo circa il 35% della quota di mercato, rendendo questo incidente di sicurezza ampiamente impattante. Una rassegna degli incidenti di sicurezza incontrati da diverse estensioni browser mainstream è la seguente:
A novembre 2022, anche l’estensione browser di Trust Wallet è stata trovata avere una vulnerabilità WebAssembly, che interessava solo gli indirizzi di portafoglio nuovi creati tra il 14 e il 23 novembre 2022. Ciò ha portato al furto di circa 170.000 dollari in fondi. Trust Wallet ha identificato il problema attraverso il suo programma di bug bounty, ha risolto la vulnerabilità e ha risarcito integralmente gli utenti colpiti.
Nel 2022, MetaMask ha sperimentato la vulnerabilità “Demonic”, che colpiva le versioni precedenti alla 10.11.3, dove le chiavi private potevano essere esposte nella memoria del browser, ma non si sono verificati noti perdite di fondi su larga scala. Dal 2023 al 2025, l’estensione ufficiale del portafoglio MetaMask ha operato in sicurezza, ma è stata frequentemente colpita da estensioni contraffatte. Un rapporto di Chainalysis ha indicato un picco di incidenti di furto anomali tra gli utenti di MetaMask nel 2025, principalmente a causa di malware contraffatti e phishing, piuttosto che della sicurezza dell’estensione del portafoglio stessa. MetaMask ha pubblicato rapporti di sicurezza mensili, ma come popolare estensione di portafoglio Ethereum, rimane un bersaglio primario per la contraffazione.
Phantom (la principale estensione di portafoglio Solana) è stata colpita anche dalla vulnerabilità “Demonic” nel 2022, ma analogamente, non si sono verificati noti perdite di fondi su larga scala. All’inizio del 2025, è emersa una controversia di sicurezza che coinvolgeva l’estensione del portafoglio Phantom, dove un utente ha perso 500.000 dollari, attribuita al fatto che Phantom memorizzava le chiavi private non crittografate in memoria, portando a un attacco hacker, ed è stata intentata una class-action nel Distretto Sud di New York. Phantom ha emesso ufficialmente una dichiarazione negando fermamente tutte le accuse, definendo la causa “infondata”, e ha sottolineato che Phantom è un portafoglio non-custodial, con la responsabilità della sicurezza dei fondi che ricade sull’utente.
Nel 2022, Rabby Wallet (un’estensione DeFi-friendly) ha subito un hack che ha rubato circa 200.000 dollari in asset crittografici a causa di una vulnerabilità di Rabby Swap, che non proveniva dall’estensione stessa ma dalla funzionalità Swap integrata.
Il metodo di furto più comune per i portafogli estensione browser è attraverso il download di app contraffatte, con molteplici incidenti di questo tipo concentrati nel negozio Firefox nel 2025, che hanno colpito portafogli estensione crittografici mainstream come MetaMask, Phantom e Trust Wallet. Al contrario, le vulnerabilità ufficiali dirette nelle estensioni sono relativamente rare. Si consiglia agli utenti di scaricare solo dallo Chrome Web Store ufficiale per garantire la sicurezza dei fondi.
