#钱包安全漏洞 Al ver el gran agujero de 6 millones de dólares en Trust Wallet esta vez, me siento un poco abatido. No por la magnitud del asunto, sino porque este patrón es demasiado familiar.

Volviendo a 2022, fui testigo en primera persona de varias ocasiones críticas en las que la seguridad de las wallets con plugins estuvo en juego. En ese entonces, la vulnerabilidad Demonic arrasó MetaMask y Phantom, las claves privadas estaban expuestas en memoria sin protección, recuerdo que muchos en el grupo preguntaban si debían seguir usándolas. Más tarde, Trust Wallet también reveló una vulnerabilidad en WebAssembly, aunque solo fue de 17 mil dólares, esa actitud de compensación en cambio ganó confianza. Tres años después, al revisar lo ocurrido en la versión 2.68, parece que la historia se repite en algún nivel.

Pero al analizar los datos con cuidado, se nota que la esencia del problema está cambiando silenciosamente. En estos años, las vulnerabilidades directas en las wallets con plugins han ido en disminución, lo que realmente causa grandes desastres no es el código en sí, sino las aplicaciones falsificadas y las estafas de phishing. Desde 2023 hasta ahora, MetaMask no ha reportado vulnerabilidades de seguridad directas, pero los casos de robo a usuarios se han disparado, y la razón son las aplicaciones falsificadas y los ataques de phishing. La explosión en la tienda de Firefox fue la mejor prueba de ello.

He visto demasiados proyectos que pasan de tener una línea de defensa técnica sólida a caer en la trampa del mercado. Trust Wallet tiene una cuota de mercado del 35% y 17 millones de usuarios activos mensuales, esa escala en sí misma la convierte en un objetivo principal. Los hackers se han vuelto más inteligentes, ya no se enfrentan directamente al código oficial, sino que manipulan la cadena de suministro y el comportamiento de los usuarios. Cómo proteger la wallet oficial, así copian las aplicaciones falsificadas; cómo emitir alertas de seguridad, así lanzan enlaces de phishing con precisión. Es una carrera armamentística desigual.

Mirando hacia atrás, desde el sistema de recompensas por vulnerabilidades en 2022 hasta las disputas colectivas en 2025, todo el ecosistema está en proceso de transformación. Algunos proyectos han aprendido a compensar rápidamente y a comunicarse con transparencia, otros se culpan mutuamente en los tribunales. La frase de Phantom "las wallets no custodiales, la responsabilidad recae en el usuario" no está equivocada en el sentido literal, pero si el usuario no puede distinguir entre lo real y lo falso, ninguna lógica fuerte puede sostener la confianza.

Volviendo al presente, mi consejo es bastante simple: la tienda oficial de Chrome Web Store es la única fortaleza confiable. Pero el problema es que quienes entienden esto suelen haber sobrevivido a la caída del mercado en 2017, y en realidad lo que hay que proteger son a los nuevos que entran. Cada vez que ocurre algo así, más personas se ven empujadas a las exchanges centralizadas, y paradójicamente, esa es precisamente la solución inicial a estos problemas. La trayectoria de la historia a veces es realmente extraña.