Napad na Trust Wallet: ponad 6 milionów dolarów skradzionych przez lukę w rozszerzeniu

Oryginalny tytuł: "Christmas Heist | Trust Wallet Browser Extension Wallet Hacked Analysis"

Oryginalne źródło: SlowMist Technology

Background

Dziś wczesnym rankiem czasu pekińskiego, @zachxbt ogłosił na kanale: "Niektórzy użytkownicy Trust Wallet zgłosili, że środki w ich portfelach krypto zostały skradzione w ciągu ostatnich kilku godzin". Następnie oficjalne konto Trust Wallet na X wydało oświadczenie potwierdzające lukę w zabezpieczeniach rozszerzenia Trust Wallet w wersji 2.68, zalecając wszystkim użytkownikom tej wersji natychmiastowe jej wyłączenie i aktualizację do wersji 2.69.

Tactics

Po otrzymaniu informacji, zespół ds. bezpieczeństwa SlowMist przeprowadził analizę odpowiednich próbek. Porównajmy najpierw główny kod wcześniej wydanych wersji 2.67 i 2.68:

Porównując kod obu wersji, znaleźliśmy złośliwy kod dodany przez hakera:

Złośliwy kod przeszukuje wszystkie portfele w wtyczce, wysyła żądanie "pobierz frazę mnemoniczną" dla każdego portfela użytkownika, aby uzyskać zaszyfrowaną frazę mnemoniczną użytkownika, a na końcu używa hasła lub passkeyPassword wprowadzonego przez użytkownika podczas odblokowywania portfela do odszyfrowania. Jeśli odszyfrowanie się powiedzie, fraza mnemoniczna użytkownika jest wysyłana do domeny atakującego `api.metrics-trustwallet[.]com`.

Przeanalizowaliśmy również informacje o domenie atakującego; użył on domeny: metrics-trustwallet.com.

Po dochodzeniu ustalono, że data rejestracji tej złośliwej domeny to 2025-12-08 02:28:18, a rejestratorem domeny jest: NICENIC INTERNATIONA.

Rejestry żądań kierowanych do api.metrics-trustwallet[.]com rozpoczęły się 2025-12-21.

Ten znacznik czasu i implantacja backdoor z kodem 12.22 są mniej więcej takie same.

Kontynuujemy odtwarzanie całego procesu ataku poprzez analizę śledzenia kodu:

Dzięki analizie dynamicznej widać, że po odblokowaniu portfela, atakujący wypełnił informacje mnemoniczne w błędzie w R1.

A źródło tych danych o błędzie jest uzyskiwane poprzez wywołanie funkcji GET_SEED_PHRASE. Obecnie Trust Wallet obsługuje dwa sposoby odblokowywania: hasło i passkeyPassword. Atakujący, podczas procesu odblokowywania, uzyskał hasło lub passkeyPassword, następnie wywołał GET_SEED_PHRASE, aby uzyskać frazę mnemoniczną portfela (oraz klucz prywatny), a następnie umieścił frazę mnemoniczną w "errorMessage".

Poniżej znajduje się kod używający emit do wywołania GetSeedPhrase w celu uzyskania danych frazy mnemonicznej i wypełnienia ich w błędzie.

Analiza ruchu przeprowadzona przez BurpSuite pokazuje, że po uzyskaniu frazy mnemonicznej, jest ona kapsułkowana w polu errorMessage treści żądania i wysyłana do złośliwego serwera (https[://]api[.]metrics-trustwallet[.]com), co jest zgodne z poprzednią analizą.

Dzięki powyższemu procesowi kradzież frazy mnemonicznej/klucza prywatnego jest zakończona. Ponadto atakujący jest zaznajomiony z kodem źródłowym i wykorzystuje platformę analizy produktów o pełnym cyklu życia open-source PostHogJS do zbierania informacji o portfelu użytkownika.

Stolen Asset Analysis

(https://t.me/investigations/296)

Według ujawnionego adresu hakera przez ZachXBT, obliczyliśmy, że w momencie publikacji całkowita kwota skradzionych aktywów na blockchainie btc-42">Bitcoin wynosi około 33 bitcoin-btc-42">BTC (o wartości około 3 milionów USD), skradzione aktywa na blockchainie Solana są wyceniane na około 431 USD, a skradzione aktywa na mainnet Ethereum i łańcuchach Layer 2 są wyceniane na około 3 miliony USD. Po kradzieży monet, haker użył różnych giełd kryptowalut i mostów międzyłańcuchowych do przesyłania i wymiany niektórych aktywów.

Summary

Ten incydent z backdoor pochodzi ze złośliwej modyfikacji kodu wewnątrz bazy kodu rozszerzenia Trust Wallet (logika usługi analitycznej), a nie z wprowadzenia zmodyfikowanego pakietu strony trzeciej (takiego jak złośliwy pakiet npm). Atakujący bezpośrednio zmienił własny kod aplikacji, używając legalnej biblioteki PostHog do przekierowania danych analitycznych do złośliwego serwera. Dlatego mamy powody sądzić, że był to profesjonalny atak APT, w którym atakujący mógł uzyskać kontrolę nad urządzeniem programistów związanych z Trust Wallet lub uprawnieniami do wdrażania wersji przed 8 grudnia.

Zalecenia:

1. Jeśli zainstalowałeś portfel krypto w formie rozszerzenia Trust Wallet, powinieneś natychmiast odłączyć się od Internetu jako warunek wstępny dochodzenia i działań.

2. Natychmiast wyeksportuj swój private key/frazę mnemoniczną i odinstaluj rozszerzenie portfela Trust Wallet.

3. Po wykonaniu kopii zapasowej klucza prywatnego/frazy mnemonicznej, niezwłocznie prześlij swoje środki do innego portfela krypto.

Original Article Link