暗号資産の購入
先物Trust Wallet拡張機能のハッキング:600万ドル以上の被害を分析
元のタイトル: "Christmas Heist | Trust Wallet Browser Extension Wallet Hacked Analysis"
元のソース: SlowMist Technology
背景
北京時間の今朝早く、@zachxbtがチャンネルで「一部のTrust Walletユーザーから、過去数時間でウォレットアドレス内の資金が盗まれたとの報告があった」と発表しました。その後、Trust Walletの公式Xも公式声明を発表し、Trust Walletブラウザ拡張機能バージョン2.68にセキュリティ上の脆弱性があることを認め、バージョン2.68を使用しているすべてのユーザーに対し、直ちにこのバージョンを無効にしてバージョン2.69にアップグレードするよう勧告しました。
手口
情報を入手後、SlowMistセキュリティチームは直ちに関連サンプルの分析を行いました。まず、以前にリリースされた2.67バージョンと2.68バージョンのコアコードを比較してみましょう:
2つのバージョンのコードを比較することで、ハッカーによって追加された悪意のあるコードを発見しました:
この悪意のあるコードは、プラグイン内のすべてのウォレットを走査し、各ユーザーのウォレットに対して「シードフレーズ取得」リクエストを行い、ユーザーの暗号化されたシードフレーズを取得します。最後に、ウォレットのロックを解除する際に入力されたパスワードまたはpasskeyPasswordを使用して復号化します。復号化に成功すると、ユーザーのシードフレーズは攻撃者のドメイン `api.metrics-trustwallet[.]com` に送信されます。
また、攻撃者のドメイン情報も分析しました。攻撃者は `metrics-trustwallet.com` というドメインを使用していました。
調査の結果、この悪意のあるドメインの登録日時は2025年12月8日 02:28:18であり、ドメイン登録業者はNICENIC INTERNATIONAでした。
api.metrics-trustwallet[.]com を標的としたリクエスト記録は2025年12月21日に開始されました。
このタイムスタンプと、コード12.22によるバックドアの埋め込み時期はほぼ一致しています。
コード追跡分析を通じて、攻撃プロセス全体を再現し続けます:
動的分析を通じて、ウォレットのロック解除後、攻撃者がR1のエラーにシード情報を入力したことがわかります。
そして、このエラーデータのソースは GET_SEED_PHRASE 関数呼び出しを通じて取得されます。現在、Trust WalletはパスワードとpasskeyPasswordの2つのロック解除方法をサポートしています。攻撃者はロック解除プロセス中にパスワードまたはpasskeyPasswordを取得し、その後 GET_SEED_PHRASE を呼び出してウォレットのシードフレーズ(秘密鍵も同様)を取得し、そのシードフレーズを「errorMessage」に入れました。
以下は、emitを使用して GetSeedPhrase を呼び出し、シードフレーズデータを取得してエラーに埋め込むコードです。
BurpSuiteを通じて実行されたトラフィック分析によると、シードフレーズを取得した後、それはリクエストボディの errorMessage フィールドにカプセル化され、悪意のあるサーバー(https[://]api[.]metrics-trustwallet[.]com)に送信されます。これは以前の分析と一致しています。
上記の手順により、シードフレーズ/秘密鍵の盗難が完了します。さらに、攻撃者はソースコードに精通しており、オープンソースのフルライフサイクル製品分析プラットフォームである PostHogJS を利用して、ユーザーのウォレット情報を収集しています。
Stolen Asset Analysis
(https://t.me/investigations/296)
ZachXBTが公開したハッカーのアドレスによると、公開時点での計算では、btc-42">ビットコイン ブロックチェーン上の盗難資産総額は約33 BTC(約300万ドル相当)、ソラナ ブロックチェーン上の盗難資産は約431ドル相当、eth-143">イーサリアム メインネットおよびLayer 2チェーン上の盗難資産は約300万ドル相当です。コインを盗んだ後、ハッカーはさまざまな取引所やクロスチェーンブリッジを使用して、資産の一部を転送および交換しました。
Summary
このバックドア事件は、改ざんされたサードパーティパッケージ(悪意のあるnpmパッケージなど)の導入ではなく、Trust Wallet拡張機能の内部コードベース(分析サービスロジック)への悪意のあるコード変更に起因しています。攻撃者はアプリケーション自体のコードを直接変更し、正当な PostHog ライブラリを使用して分析データを悪意のあるサーバーにリダイレクトしました。したがって、これはプロのAPT攻撃であると考えられます。攻撃者は12月8日以前に、Trust Wallet関連の開発者のデバイスまたはリリース展開権限を掌握していた可能性があります。
推奨事項:
1. Trust Wallet拡張機能ウォレットをインストールしている場合は、調査および行動の前提条件として、直ちにインターネットから切断してください。
2. 直ちに秘密鍵/シードフレーズをエクスポートし、Trust Wallet拡張機能ウォレットをアンインストールしてください。
3. 秘密鍵/シードフレーズをバックアップした後、速やかに資金を別のウォレットに転送してください。
関連記事
ペンタゴン・ピザ指数が1250%急騰:ベネズエラの次はどこか?
1月8日の市場インサイト:どれだけのチャンスを逃しましたか?
時価総額10億ドルの急増:トランプ一家の賭けと取引所の裏側
2500億ドル、6723件の資金調達:2025年の仮想通貨VCの投資先は?
トークン所有か株式所有か?真の問いは誤解されている
Ranger Fundが公募に新たなアプローチ:草の根チームは市場の信頼を得られるか?
2026年の展望:暗号資産とAIを形成する主要テーマ
1月8日の主要な市場情報の不一致 - 必見! | Alpha Morning Report
トレンド調査:2026年、パラダイムを超えて。WLFIが金融エコシステムの新たな時代を切り拓く
1月7日の市場概況:見逃した重要な動きは?
6桁の目標:2026年に注目すべきトップエアドロップ
米国では大統領が2度弾劾されたが、トランプのプラットフォームはそれを「反乱」とは呼んでいない。
2025年版暗号資産カード年次レポート:月間アクティブユーザー数4万人、平均利用額は100ドル未満
2026年仮想通貨ラリー:慎重な強気相場の幕開け
DragonflyのパートナーHaseebが選ぶ、仮想通貨史上最高のVCとは?
プライバシーレーン:a16zが予測する2026年の主要トレンド
1日で倍になっても98%の暴落は埋め合わせられない - Parclの「Polymarketストーリー」は持ちこたえたか?
App