Crăciunul lui 2025 nu a fost chiar cum și-l imaginau mulți dintre cei care țin crypto pe Trust Wallet. În timp ce lumea se bucura de sărbători, de brad și de cozonac, hackerii lucrau. Și au lucrat bine, din păcate.

O vulnerabilitate în extensia de Chrome a portofelului a permis sustragerea a peste 6 milioane de dolari din conturile utilizatorilor, totul în câteva ore. Trust Wallet a recunoscut problema în aceeași zi și a cerut tuturor să facă urgent update la versiunea 2.69.

Primul care a tras semnalul de alarmă a fost ZachXBT, un investigator blockchain pe care probabil îl știți dacă urmăriți spațiul crypto. Tipul are un nas aparte pentru chestii dubioase și a postat pe Telegram că se întâmplă ceva ciudat cu portofelele Trust Wallet. În câteva ore, vestea făcuse înconjurul Twitter-ului (sau X, cum vrea Musk să-i zicem) și panica era deja instalată.

Cum s-au derulat lucrurile?

Pe 24 decembrie, Trust Wallet a lansat versiunea 2.68 a extensiei pentru Chrome. Nimic ieșit din comun, actualizări de genul ăsta apar destul de des. Doar că de data asta ceva nu a fost în regulă. Undeva în codul nou s-a strecurat o vulnerabilitate care le-a dat atacatorilor exact ce aveau nevoie ca să ajungă la fondurile oamenilor.

Primele semne au apărut a doua zi dimineața. Utilizatori din toată lumea au început să posteze că le-au dispărut banii din portofele. Unii credeau că au fost păcăliți cu vreun site de phishing, alții bănuiau că le-a fost compromis calculatorul. Dar când ZachXBT a început să analizeze tranzacțiile on-chain, a devenit clar că problema e la Trust Wallet, nu la utilizatorii individuali.

Ce e interesant, și oarecum îngrijorător, e că atacatorii par să fi știut exact ce fac. Tranzacțiile frauduloase s-au întâmplat într-un interval foarte scurt, ceea ce sugerează fie că știau de breșă dinainte, fie că au făcut rapid reverse engineering pe codul actualizării. Oricum ar fi, au fost organizați și eficienți.

Trust Wallet a reacționat destul de repede, trebuie să recunoaștem. Au postat pe X că versiunea 2.68 are probleme și că toată lumea trebuie să treacă pe 2.69. Au subliniat că aplicația de mobil și versiunile mai vechi ale extensiei nu sunt afectate, doar Chrome-ul cu update-ul proaspăt. Un detaliu important pentru cei care nu apucaseră să actualizeze.

Ce anume s-a stricat?

Aici lucrurile devin un pic neclare. Trust Wallet nu a spus încă exact ce anume a cauzat breșa. Investigația e în desfășurare, zic ei, și vor comunica detalii când le au. E o abordare prudentă, pentru că dacă explici public exact cum a funcționat vulnerabilitatea, riști să dai idei și altor hackeri care ar putea să caute ceva similar în alte portofele.

Dar na, lipsa informațiilor nu a oprit speculațiile. Pe Twitter se vorbește despre posibile probleme cu modul în care extensia gestionează cheile private. Alții zic că ar putea fi ceva legat de procesul de semnare a tranzacțiilor. Sunt și teorii despre o potențială breșă în comunicarea dintre extensie și serverele companiei. Până nu avem un raport oficial, rămân doar presupuneri.

Ce știm sigur e că extensiile de browser sunt prin definiție mai expuse decât aplicațiile de mobil sau portofelele hardware. Rulează într-un mediu mai deschis, interacționează cu tot felul de site-uri, și orice eroare de cod poate avea consecințe serioase. Nu e prima dată când se întâmplă așa ceva în crypto și, să fim realiști, probabil nu va fi nici ultima.

Oamenii din spatele cifrelor

E ușor să vorbim despre 6 milioane de dolari ca despre un număr abstract. Dar în spatele acestei cifre sunt oameni reali cu pierderi reale. Am citit pe Twitter povești ale unor utilizatori care și-au pierdut economiile din ultimii ani. Unul povestea că ținea acolo banii pentru avansul la un apartament. Altul spunea că erau fondurile pentru facultatea copilului. Dureros.

Reacțiile comunității au fost mixte, cum era de așteptat. Unii au sărit să ajute cu sfaturi și explicații tehnice, alții au profitat de ocazie să critice Trust Wallet sau să-și promoveze portofelele preferate. Clasic pentru crypto Twitter, dacă pot să zic așa. Dar dincolo de zgomot, au fost și discuții serioase despre cum putem evita pe viitor astfel de situații.

Cineva a observat și ironia timing-ului. Crăciunul e un moment în care echipele tehnice funcționează cu oameni puțini, multă lume e în vacanță sau cu familia. Nu știm dacă atacatorii au ales intenționat ziua asta, dar cu siguranță le-a oferit mai mult timp de acțiune înainte ca cineva să observe și să reacționeze.

Trust Wallet și securitatea în crypto

Pentru cine nu știe, Trust Wallet e unul dintre cele mai folosite portofele non-custodiale din piață. A fost cumpărat de Binance în 2018 și de atunci a crescut enorm. Interfața e simplă, suportă multe blockchainuri, se integrează ușor cu aplicații DeFi. Motivele pentru care oamenii îl aleg sunt destul de evidente.

Dar popularitatea vine cu responsabilitate. Când ai milioane de utilizatori care îți încredințează banii, orice greșeală se amplifică. Și istoria crypto e plină de astfel de momente. Cine ține minte Mt. Gox? Sau hackurile din DeFi care au devenit aproape banale în ultimii ani? Securitatea rămâne călcâiul lui Ahile al întregii industrii.

Ce mă îngrijorează pe mine personal la incidentul ăsta e că a afectat o extensie descărcată din Chrome Web Store, adică din sursa oficială. Mulți oameni cred că dacă iau aplicația din locul corect, sunt în siguranță. Ei bine, nu chiar. Actualizările automate pot aduce și probleme, nu doar îmbunătățiri. E o lecție pe care merită să o reținem.

Cum te poți proteja?

Dacă folosești Trust Wallet pe Chrome, primul lucru pe care trebuie să-l faci e să verifici ce versiune ai. Intră în setările browserului, găsește lista de extensii și uită-te la numărul versiunii.

Dacă vezi 2.68, dezactiveaz-o imediat și instalează 2.69 de pe Chrome Web Store. Folosește doar linkul oficial, nu da click pe ce primești pe mail sau pe Discord.

După ce ai făcut update-ul, verifică-ți istoricul de tranzacții. Dacă vezi ceva suspect, fă capturi de ecran și contactează suportul Trust Wallet. Șansele de recuperare sunt mici, dar documentarea ajută la investigație și poate preveni alte atacuri.

Pe termen lung, gândește-te serios la un portofel hardware dacă ai sume mai mari. Un Ledger sau un Trezor costă între 50 și 150 de dolari, dar îți ține cheile private complet offline. Pentru banii de zi cu zi pe care îi folosești în DeFi sau pentru plăți, un portofel software e ok. Pentru economii serioase, hardware-ul rămâne regele.

Mai e un truc pe care l-am învățat de la un prieten mai paranoic: nu lăsa actualizările automate pornite pentru extensiile importante. Așteaptă câteva zile după ce apare o versiune nouă, lasă alții să fie cobai. Dacă nu apar probleme, atunci faci și tu update. În cazul Trust Wallet, cei care nu se grăbiseră cu actualizarea au scăpat neatinși.

Detectivii blockchain și rolul lor

ZachXBT merită un paragraf separat pentru că omul chiar face treabă. De ani de zile urmărește fonduri furate, demască escroci și alertează comunitatea despre pericole. În cazul ăsta, a fost primul care a pus lucrurile cap la cap și a anunțat public ce se întâmplă. Fără el, probabil pierderile ar fi fost mult mai mari.

Investigatorii on-chain sunt un fenomen interesant în crypto. Blockchain-ul e transparent prin design, oricine poate vedea tranzacțiile. Dar să interpretezi ce vezi, să urmărești banii prin zeci de portofele și mixere, să legi punctele între ele, asta cere experiență și dedicare. ZachXBT și alții ca el fac un fel de muncă de poliție comunitară, fără badge și fără autoritate oficială.

Limitele sunt evidente, desigur. Nu pot să înghețe conturi, nu pot să forțeze pe nimeni să returneze banii. Dar pot să facă viața grea escrocilor prin expunere publică și pot să ajute autoritățile când acestea decid să se implice. E mai bine decât nimic într-o industrie care încă se luptă cu reglementarea.

Cine e responsabil când se fură banii?

Întrebarea asta bântuie crypto de la începuturi. La o bancă tradițională, dacă cineva îți fură banii din cont prin fraudă, banca te despăgubește. Există legi, există asigurări, există proceduri. În crypto, situația e cu totul alta.

Trust Wallet, ca majoritatea portofelelor non-custodiale, funcționează pe principiul că tu ești responsabil de fondurile tale. Ei îți oferă softul, tu îți asumi riscul. Termenii și condițiile pe care nimeni nu le citește conțin clauze care îi scutesc de răspundere în cazul hackurilor. E filosofia descentralizării dusă până la capăt, dar când ți se fură banii nu prea te consolează.

Unele companii crypto au ales în trecut să despăgubească victimele din fonduri proprii, ca gest de bună credință. Rămâne de văzut dacă Trust Wallet va face ceva similar. Ar costa, dar ar putea salva reputația. În industria asta, încrederea e totul, iar un răspuns generos la o criză poate face diferența între utilizatori loiali și o fugă în masă către concurență.

Ce urmează?

Trust Wallet a promis că va publica rezultatele investigației. Comunitatea așteaptă să afle exact ce s-a întâmplat, cum a ajuns bug-ul în producție și ce măsuri vor lua ca să nu se mai repete. Transparența în momentele astea contează enorm.

Pentru cei care au pierdut bani, opțiunile sunt limitate. Documentează tot, raportează la poliție dacă sumele sunt semnificative, urmărește ce anunță Trust Wallet. Recuperarea e greu de obținut, dar nu imposibilă. Au fost cazuri în care presiunea comunității și urmărirea fondurilor au dus la identificarea atacatorilor și chiar la returnări parțiale.

Crăciunul 2025 va rămâne în memoria celor din crypto ca un reminder neplăcut. Oricât de mult am vrea să credem că portofelele noastre sunt sigure, realitatea e că riscurile există mereu. Prudența, diversificarea și educația continuă rămân cele mai bune arme. Nu e glamuros, dar funcționează.

Dacă vrei să afli mai multe despre cum funcționează portofelele digitale și cum să-ți protejezi criptomonedele, pe site-ul oficial Trust Wallet găsești ghiduri utile. Iar dacă ai trecut și tu prin ceva similar sau ai sfaturi pentru alții, lasă un comentariu. În crypto, ne ajutăm unii pe alții sau ne scufundăm împreună.