Furto su Trust Wallet: oltre 6 milioni di dollari sottratti tramite estensione browser

Titolo originale: "Christmas Heist | Trust Wallet Browser Extension Wallet Hacked Analysis"

Fonte originale: SlowMist Technology

Contesto

Questa mattina presto, ora di Pechino, @zachxbt ha annunciato sul canale: "Alcuni utenti di Trust Wallet hanno segnalato che i fondi nei loro portafogli cripto sono stati rubati nelle ultime ore". Successivamente, l'account X ufficiale di Trust Wallet ha rilasciato una dichiarazione confermando una vulnerabilità di sicurezza nell'estensione Trust Wallet versione 2.68, consigliando a tutti gli utenti che utilizzano la versione 2.68 di disabilitarla immediatamente e aggiornare alla versione 2.69.

Tattiche

Dopo aver ricevuto l'intelligence, il team di sicurezza di SlowMist ha prontamente condotto un'analisi dei campioni rilevanti. Confrontiamo innanzitutto il codice principale delle versioni 2.67 e 2.68 rilasciate in precedenza:

Confrontando il codice delle due versioni, abbiamo trovato il codice malevolo aggiunto dall'hacker:

Il codice malevolo attraversa tutti i portafogli nel plugin, effettua una richiesta "get mnemonic phrase" per ogni portafoglio dell'utente per ottenere la frase mnemonica crittografata dell'utente e infine utilizza la password o il passkeyPassword inserito dall'utente durante lo sblocco del portafoglio per la decrittazione. Se la decrittazione ha successo, la frase mnemonica dell'utente viene inviata al dominio dell'attaccante `api.metrics-trustwallet[.]com`.

Abbiamo anche analizzato le informazioni sul dominio dell'attaccante; l'attaccante ha utilizzato il dominio: metrics-trustwallet.com.

Dopo un'indagine, la data di registrazione di questo dominio malevolo era 2025-12-08 02:28:18 e il registrar del dominio è: NICENIC INTERNATIONA.

I record di richiesta che prendono di mira api.metrics-trustwallet[.]com sono iniziati il 2025-12-21.

Questo timestamp e l'impianto della backdoor con codice 12.22 sono all'incirca gli stessi.

Continuiamo a riprodurre l'intero processo di attacco attraverso l'analisi del tracciamento del codice:

Attraverso l'analisi dinamica, si può vedere che dopo aver sbloccato il portafoglio, l'attaccante ha inserito le informazioni mnemoniche nell'errore in R1.

E la fonte di questi dati di errore viene ottenuta tramite la chiamata alla funzione GET_SEED_PHRASE. Attualmente, Trust Wallet supporta due modi per sbloccare: password e passkeyPassword. L'attaccante, durante il processo di sblocco, ha ottenuto la password o il passkeyPassword, ha quindi chiamato GET_SEED_PHRASE per ottenere la frase mnemonica del portafoglio (così come la chiave privata), e poi ha inserito la frase mnemonica nell'"errorMessage".

Di seguito è riportato il codice che utilizza emit per chiamare GetSeedPhrase per ottenere i dati della frase mnemonica e inserirli nell'errore.

L'analisi del traffico eseguita tramite BurpSuite mostra che dopo aver ottenuto la frase mnemonica, essa viene incapsulata nel campo errorMessage del corpo della richiesta e inviata a un server malevolo (https[://]api[.]metrics-trustwallet[.]com), il che è coerente con l'analisi precedente.

Attraverso il processo sopra descritto, il furto della frase mnemonica/chiave privata è completato. Inoltre, l'attaccante ha familiarità con il codice sorgente e utilizza la piattaforma di analisi del prodotto open-source PostHogJS per raccogliere le informazioni del portafoglio dell'utente.

Stolen Asset Analysis

(https://t.me/investigations/296)

Secondo l'indirizzo dell'hacker rivelato da ZachXBT, abbiamo calcolato che al momento della pubblicazione, l'importo totale degli asset rubati sulla blockchain Bitcoin è di circa 33 BTC (valutati a circa 3 milioni di USD), gli asset rubati sulla blockchain Solana sono valutati a circa 431 USD, e gli asset rubati sulla mainnet Ethereum e sulle catene Layer 2 sono valutati a circa 3 milioni di USD. Dopo aver rubato le monete, l'hacker ha utilizzato vari exchange di criptovalute e bridge cross-chain per trasferire e scambiare alcuni degli asset.

Summary

Questo incidente di backdoor ha avuto origine da una modifica malevola del codice alla base del codice interno dell'estensione Trust Wallet (logica del servizio di analisi), piuttosto che dall'introduzione di un pacchetto di terze parti manomesso (come un pacchetto npm malevolo). L'attaccante ha alterato direttamente il codice dell'applicazione, utilizzando la libreria legittima PostHog per reindirizzare i dati analitici a un server malevolo. Pertanto, abbiamo motivo di credere che si sia trattato di un attacco APT professionale, in cui l'attaccante potrebbe aver ottenuto il controllo del dispositivo degli sviluppatori legati a Trust Wallet o delle autorizzazioni di rilascio prima dell'8 dicembre.

Raccomandazioni:

1. Se hai installato l'estensione del portafoglio Trust Wallet, dovresti disconnetterti immediatamente da Internet come prerequisito per l'indagine e le azioni.

2. Esporta immediatamente la tua private key/frase mnemonica e disinstalla l'estensione del portafoglio Trust Wallet.

3. Dopo aver eseguito il backup della tua chiave privata/frase mnemonica, trasferisci prontamente i tuoi fondi su un altro portafoglio cripto.

Original Article Link