A TrustWallet, carteira cripto não custodial ligada ao cofundador da Binance, confirmou uma falha grave em sua extensão para navegador que resultou em perdas de cerca de US$6,77 milhões. O incidente chamou atenção pela rapidez do ataque e pela forma como diversos ativos foram drenados.

A empresa confirmou que o problema atingiu exclusivamente a versão 2.68 da extensão. Além disso, solicitou atualização imediata para a versão 2.69, reforçando que celulares e outras versões permaneceram seguras.

Milhões drenados e movimentações suspeitas

Segundo dados on-chain, o invasor enviou aproximadamente US$4,25 milhões para serviços como KuCoin, HTX, ChangeNOW e FixedFloat. Essas plataformas são usadas com frequência para dificultar rastreamentos, o que ampliou as suspeitas sobre a origem e a sofisticação do ataque.

Relatórios indicam que centenas de usuários foram afetados e que o hacker transferiu milhões para plataformas centralizadas logo após a exploração.

Diversos ativos foram comprometidos, incluindo Bitcoin, Ethereum, USDT, USDC e BNB. Assim, ficou claro que o invasor obteve acesso direto às carteiras atingidas. Essa condição reforçou a suspeita de que o ataque explorou um ponto crítico ligado ao processo de importação de frases-semente dentro da extensão vulnerável.

Segundo a empresa, o problema foi causado por código malicioso inserido especificamente para ser acionado durante a importação da frase-semente. No entanto, membros da comunidade questionaram como esse código passou pelos controles internos antes de chegar ao público.

A TrustWallet informou que apenas a versão 2.68 sofreu impacto e orientou a atualização imediata para impedir novos prejuízos.

Promessa de reembolso e críticas da comunidade

Diante do impacto, CZ afirmou que a TrustWallet reembolsará todos os usuários afetados. Além disso, destacou que a equipe investiga como uma versão comprometida foi aprovada e distribuída oficialmente.

Até o momento, cerca de US$7 milhões foram afetados. A empresa garantiu que todos os valores serão ressarcidos e que os fundos permanecem seguros.

A resposta buscou reduzir a preocupação da comunidade, que levantou dúvidas sobre a simplicidade do código malicioso. Alguns usuários sugeriram falha grave nos processos de auditoria; outros chegaram a levantar a hipótese de envolvimento interno, algo que repercutiu rapidamente.

Usuários afirmaram que o código suspeito deveria ter sido identificado por verificações automatizadas antes da liberação.

Ainda assim, parte da comunidade argumentou que o reembolso não resolve o problema estrutural. Portanto, pediram reforços nas práticas de auditoria, revisão e controle interno para evitar novos incidentes.

Impacto no token TWT e reação do mercado

O token TWT sofreu queda imediata, passando de US$0,82 para US$0,76 após a divulgação do ataque. No entanto, o ativo se recuperou rapidamente e voltou ao patamar anterior, mostrando resiliência mesmo com o impacto negativo inicial.

Dados da DefiLlama revelam que a empresa segue lucrativa em 2025 e acumula mais de 220 milhões de usuários. Assim, apesar da pressão gerada pelo ataque, a TrustWallet permanece relevante no mercado global de cripto.

No curto prazo, a identificação da falha na versão 2.68, o compromisso de reembolso e o lançamento da correção 2.69 moldaram a reação do mercado, da comunidade e do desempenho do token TWT.