Notícias do BlockBeats, em 26 de dezembro, nesta manhã, a Trust Wallet, a carteira de criptomoedas não custodial com a maior base de usuários, emitiu oficialmente um alerta de segurança, confirmando uma vulnerabilidade de segurança na versão de extensão de navegador 2.68. O detetive on-chain ZachXBT divulgou que centenas de usuários da Trust Wallet tiveram seus fundos roubados, com perdas totalizando pelo menos US$ 6 milhões. A Trust Wallet acumulou mais de 200 milhões de downloads, com aproximadamente 17 milhões de usuários ativos mensais, detendo cerca de 35% da participação de mercado, tornando este incidente de segurança amplamente impactante. Uma revisão dos incidentes de segurança enfrentados por várias extensões de navegador mainstream é a seguinte:
Em novembro de 2022, a extensão de navegador da Trust Wallet também foi encontrada com uma vulnerabilidade WebAssembly, afetando apenas novos endereços de carteira criados entre 14 e 23 de novembro de 2022. Isso levou ao roubo de aproximadamente US$ 170.000 em fundos. A Trust Wallet identificou o problema através de seu programa de recompensa por bugs, corrigiu a vulnerabilidade e compensou integralmente os usuários afetados.
Em 2022, a MetaMask experimentou a vulnerabilidade “Demonic”, afetando versões anteriores à 10.11.3, onde chaves privadas poderiam ser expostas na memória do navegador, mas nenhuma perda de fundos em larga escala conhecida ocorreu. De 2023 a 2025, a extensão de carteira oficial da MetaMask operou com segurança, mas foi frequentemente afetada por extensões falsificadas. Um relatório da Chainalysis indicou um aumento em incidentes de roubo anormais entre usuários da MetaMask em 2025, principalmente devido a malware falsificado e phishing, e não à segurança da carteira de extensão em si. A MetaMask tem divulgado relatórios de segurança mensais, mas como uma popular carteira de extensão Ethereum, ela permanece um alvo principal para falsificação.
A Phantom (a principal extensão de carteira Solana) também foi afetada pela vulnerabilidade “Demonic” em 2022, mas, similarmente, nenhuma perda de fundos em larga escala conhecida ocorreu. No início de 2025, surgiu uma controvérsia de segurança envolvendo a extensão de carteira Phantom, onde um usuário perdeu US$ 500.000, atribuída ao armazenamento não criptografado de chaves privadas na memória pela Phantom, levando a um ataque de hacker, e uma ação coletiva foi movida no Distrito Sul de Nova York. A Phantom emitiu oficialmente uma declaração negando veementemente todas as alegações, chamando o processo de “infundado”, e enfatizou que a Phantom é uma carteira não custodial, com a responsabilidade pela segurança dos fundos cabendo ao usuário.
Em 2022, a Rabby Wallet (uma extensão amigável ao DeFi) sofreu um hack que roubou aproximadamente US$ 200.000 em ativos cripto devido a uma vulnerabilidade no Rabby Swap, que se originou não da extensão em si, mas do recurso Swap integrado.
O método mais comum de roubo para carteiras de extensão de navegador é através de downloads de aplicativos falsificados, com múltiplos incidentes desse tipo concentrados na loja Firefox em 2025, afetando carteiras de extensão cripto mainstream como MetaMask, Phantom e Trust Wallet. Em contraste, vulnerabilidades diretas oficiais em extensões são relativamente raras. Recomenda-se que os usuários façam o download apenas da Chrome Web Store oficial para garantir a segurança dos fundos.
