Крипто-ограбление на Рождество: потеряно более 6 миллионов долларов, анализ взлома расширения Trust Wallet для Chrome

Оригинальное название: "Christmas Heist | Trust Wallet Browser Extension Wallet Hacked Analysis"

Оригинальный источник: SlowMist Technology

Предыстория

Сегодня рано утром по пекинскому времени @zachxbt объявил в канале: "Некоторые пользователи Trust Wallet сообщили, что средства на их адресах кошельков были украдены за последние несколько часов". Впоследствии официальный X-аккаунт Trust Wallet также выпустил официальное заявление, подтверждающее уязвимость безопасности в расширении Trust Wallet для браузера версии 2.68, и посоветовал всем пользователям, использующим версию 2.68, немедленно отключить эту версию и обновиться до версии 2.69.

Тактика

Получив информацию, команда безопасности SlowMist оперативно провела анализ соответствующих образцов. Давайте сначала сравним основной код ранее выпущенных версий 2.67 и 2.68:

Сравнив код двух версий, мы обнаружили вредоносный код, добавленный хакером:

Вредоносный код обходит все кошельки в плагине, делает запрос "получить мнемоническую фразу" для каждого кошелька пользователя, чтобы получить зашифрованную мнемоническую фразу пользователя, и, наконец, использует пароль или passkeyPassword, введенный пользователем при разблокировке кошелька, для расшифровки. Если расшифровка прошла успешно, мнемоническая фраза пользователя отправляется на домен злоумышленника `api.metrics-trustwallet[.]com`.

Мы также проанализировали информацию о домене злоумышленника; хакер использовал домен: metrics-trustwallet.com.

Согласно расследованию, время регистрации этого вредоносного домена было 2025-12-08 02:28:18, а регистратор домена: NICENIC INTERNATIONA.

Записи запросов к api.metrics-trustwallet[.]com начались 2025-12-21.

Эта временная метка и внедрение бэкдора с кодом 12.22 примерно совпадают.

Мы продолжаем воспроизводить весь процесс атаки с помощью анализа отслеживания кода:

Благодаря динамическому анализу видно, что после разблокировки кошелька злоумышленник заполнил информацию о мнемонике в ошибку в R1.

И источник этих данных об ошибке получается через вызов функции GET_SEED_PHRASE. В настоящее время Trust Wallet поддерживает два способа разблокировки: пароль и passkeyPassword. Злоумышленник во время процесса разблокировки получил пароль или passkeyPassword, затем вызвал GET_SEED_PHRASE, чтобы получить мнемоническую фразу кошелька (а также приватный ключ), а затем поместил мнемоническую фразу в "errorMessage".

Ниже приведен код, использующий emit для вызова GetSeedPhrase, чтобы получить данные мнемонической фразы и заполнить ими ошибку.

Анализ трафика, выполненный через BurpSuite, показывает, что после получения мнемонической фразы она инкапсулируется в поле errorMessage тела запроса и отправляется на вредоносный сервер (https[://]api[.]metrics-trustwallet[.]com), что согласуется с предыдущим анализом.

Благодаря вышеописанному процессу кража мнемонической фразы/приватного ключа завершена. Кроме того, злоумышленник также знаком с исходным кодом и использует платформу анализа полного жизненного цикла продукта с открытым исходным кодом PostHogJS для сбора информации о кошельке пользователя.

Анализ украденных активов

(https://t.me/investigations/296)

Согласно раскрытому адресу хакера ZachXBT, мы подсчитали, что на момент публикации общая сумма украденных активов в блокчейне bitcoin-btc-42">Биткоин составляет примерно 33 BTC (оценивается примерно в 3 миллиона долларов США), украденные активы в блокчейне Solana оцениваются примерно в 431 доллар США, а украденные активы в ethereum-eth-143">Эфириум mainnet и сетях Layer 2 оцениваются примерно в 3 миллиона долларов США. После кражи монет хакер использовал различные криптобиржи и кросс-чейн мосты для перевода и обмена части активов.

Резюме

Этот инцидент с бэкдором возник из-за вредоносной модификации кода во внутренней кодовой базе расширения Trust Wallet (логика аналитического сервиса), а не из-за внедрения поддельного стороннего пакета (например, вредоносного npm-пакета). Злоумышленник напрямую изменил собственный код приложения, используя легитимную библиотеку PostHog для перенаправления аналитических данных на вредоносный сервер. Поэтому у нас есть основания полагать, что это была профессиональная APT-атака, при которой злоумышленник мог получить контроль над устройствами разработчиков Trust Wallet или правами на развертывание релиза до 8 декабря.

Рекомендации:

1. Если вы установили расширение-кошелек Trust Wallet, вам следует немедленно отключиться от интернета в качестве предварительного условия для расследования и действий.

2. Немедленно экспортируйте свой приватный ключ/мнемоническую фразу и удалите расширение-кошелек Trust Wallet.

3. После резервного копирования вашего приватного ключа/мнемонической фразы оперативно переведите свои средства на другой кошелек.

Ссылка на оригинальную статью