Trust Wallet拡張機能のハッキング:600万ドル以上の被害を分析
元のタイトル: "Christmas Heist | Trust Wallet Browser Extension Wallet Hacked Analysis"
元のソース: SlowMist Technology
背景
北京時間の今朝早く、@zachxbtがチャンネルで「一部のTrust Walletユーザーから、過去数時間でウォレットアドレス内の資金が盗まれたとの報告があった」と発表しました。その後、Trust Walletの公式Xも公式声明を発表し、Trust Walletブラウザ拡張機能バージョン2.68にセキュリティ上の脆弱性があることを認め、バージョン2.68を使用しているすべてのユーザーに対し、直ちにこのバージョンを無効にしてバージョン2.69にアップグレードするよう勧告しました。
手口
情報を入手後、SlowMistセキュリティチームは直ちに関連サンプルの分析を行いました。まず、以前にリリースされた2.67バージョンと2.68バージョンのコアコードを比較してみましょう:
2つのバージョンのコードを比較することで、ハッカーによって追加された悪意のあるコードを発見しました:
この悪意のあるコードは、プラグイン内のすべてのウォレットを走査し、各ユーザーのウォレットに対して「シードフレーズ取得」リクエストを行い、ユーザーの暗号化されたシードフレーズを取得します。最後に、ウォレットのロックを解除する際に入力されたパスワードまたはpasskeyPasswordを使用して復号化します。復号化に成功すると、ユーザーのシードフレーズは攻撃者のドメイン `api.metrics-trustwallet[.]com` に送信されます。
また、攻撃者のドメイン情報も分析しました。攻撃者は `metrics-trustwallet.com` というドメインを使用していました。
調査の結果、この悪意のあるドメインの登録日時は2025年12月8日 02:28:18であり、ドメイン登録業者はNICENIC INTERNATIONAでした。
api.metrics-trustwallet[.]com を標的としたリクエスト記録は2025年12月21日に開始されました。
このタイムスタンプと、コード12.22によるバックドアの埋め込み時期はほぼ一致しています。
コード追跡分析を通じて、攻撃プロセス全体を再現し続けます:
動的分析を通じて、ウォレットのロック解除後、攻撃者がR1のエラーにシード情報を入力したことがわかります。
そして、このエラーデータのソースは GET_SEED_PHRASE 関数呼び出しを通じて取得されます。現在、Trust WalletはパスワードとpasskeyPasswordの2つのロック解除方法をサポートしています。攻撃者はロック解除プロセス中にパスワードまたはpasskeyPasswordを取得し、その後 GET_SEED_PHRASE を呼び出してウォレットのシードフレーズ(秘密鍵も同様)を取得し、そのシードフレーズを「errorMessage」に入れました。
以下は、emitを使用して GetSeedPhrase を呼び出し、シードフレーズデータを取得してエラーに埋め込むコードです。
BurpSuiteを通じて実行されたトラフィック分析によると、シードフレーズを取得した後、それはリクエストボディの errorMessage フィールドにカプセル化され、悪意のあるサーバー(https[://]api[.]metrics-trustwallet[.]com)に送信されます。これは以前の分析と一致しています。
上記の手順により、シードフレーズ/秘密鍵の盗難が完了します。さらに、攻撃者はソースコードに精通しており、オープンソースのフルライフサイクル製品分析プラットフォームである PostHogJS を利用して、ユーザーのウォレット情報を収集しています。
Stolen Asset Analysis
(https://t.me/investigations/296)
ZachXBTが公開したハッカーのアドレスによると、公開時点での計算では、btc-42">ビットコイン ブロックチェーン上の盗難資産総額は約33 BTC(約300万ドル相当)、ソラナ ブロックチェーン上の盗難資産は約431ドル相当、eth-143">イーサリアム メインネットおよびLayer 2チェーン上の盗難資産は約300万ドル相当です。コインを盗んだ後、ハッカーはさまざまな取引所やクロスチェーンブリッジを使用して、資産の一部を転送および交換しました。
Summary
このバックドア事件は、改ざんされたサードパーティパッケージ(悪意のあるnpmパッケージなど)の導入ではなく、Trust Wallet拡張機能の内部コードベース(分析サービスロジック)への悪意のあるコード変更に起因しています。攻撃者はアプリケーション自体のコードを直接変更し、正当な PostHog ライブラリを使用して分析データを悪意のあるサーバーにリダイレクトしました。したがって、これはプロのAPT攻撃であると考えられます。攻撃者は12月8日以前に、Trust Wallet関連の開発者のデバイスまたはリリース展開権限を掌握していた可能性があります。
推奨事項:
1. Trust Wallet拡張機能ウォレットをインストールしている場合は、調査および行動の前提条件として、直ちにインターネットから切断してください。
2. 直ちに秘密鍵/シードフレーズをエクスポートし、Trust Wallet拡張機能ウォレットをアンインストールしてください。
3. 秘密鍵/シードフレーズをバックアップした後、速やかに資金を別のウォレットに転送してください。
関連記事
対話OmenX 創設者:なぜ予測市場は「現物」から「デリバティブ」への進化を必要とするのか?
10年前のP2Pの不正資金が6万枚のビットコインになった
早報 | シカゴ商品取引所がナスダック暗号通貨指数先物を導入;資産運用大手ジャナス・ヘンダーソンがエセナに戦略的投資
ビットコイン第2層ネットワーク Botanix:なぜ私たちは解散を選んだのか?
甲骨文は史上最強の財務報告を発表したが、なぜ株価は下がったのか?
早報 | OpenAIは米国SECにS-1登録声明の草案を提出しました;Morphoは1.75億ドルの資金調達を完了しました
Galaxy 深度研報:Hyperliquid の HIP-4 アップグレードが予測市場の構図をどのように変えるのか?
コーネル大学などの13のトップ大学による最新の研究:Crypto x AIの融合の現状、課題、誤解
Anthropicを解体する:最良のAI企業、そしておそらく一種の組織的発明
すべての取引所は「万物取引所」です。
Pantera Capitalのパートナー:トークン化がプライベートエクイティと初期投資のエコシステムをどのように再構築するのか?
伝統的な金融の反撃:アライアンスチェーンが静かに復興している
早報 | BitMineは先週126,971枚のETHを増持;トレーダーのEugeneが暗号市場からの撤退を発表
王川:隣の老王がストレージ株に投資して30倍の利益を上げた後、どうして不安にならないことができるのか(七)- 四半世紀の輪廻
暗号CEXが集まって米国株を売る、従来の証券会社に「不速の客」が訪れる
750億ドルの外国資本が流出し、韓国の個人投資家はレバレッジを使って全て受け止めた。
早報 | 韓国の五大仮想資産プラットフォームで6年間に57件のハッキング及びシステム障害が発生;グレースケールがCanton ETFの登録申請を提出
