Крипто-пограбування на Різдво: втрачено понад 6 мільйонів доларів, аналіз зламу розширення Trust Wallet для Chrome

Оригінальна назва: "Christmas Heist | Trust Wallet Browser Extension Wallet Hacked Analysis"

Оригінальне джерело: SlowMist Technology

Передісторія

Сьогодні рано вранці за пекінським часом @zachxbt оголосив у каналі: "Деякі користувачі Trust Wallet повідомили, що кошти на їхніх адресах гаманців були вкрадені за останні кілька годин". Згодом офіційний X-акаунт Trust Wallet також випустив офіційну заяву, що підтверджує вразливість безпеки в розширенні Trust Wallet для браузера версії 2.68, і порадив усім користувачам, які використовують версію 2.68, негайно вимкнути цю версію та оновитися до версії 2.69.

Тактика

Отримавши інформацію, команда безпеки SlowMist оперативно провела аналіз відповідних зразків. Давайте спочатку порівняємо основний код раніше випущених версій 2.67 та 2.68:

Порівнявши код двох версій, ми виявили шкідливий код, доданий хакером:

Шкідливий код обходить усі гаманці в плагіні, робить запит "отримати мнемонічну фразу" для кожного гаманця користувача, щоб отримати зашифровану мнемонічну фразу користувача, і, нарешті, використовує пароль або passkeyPassword, введений користувачем під час розблокування гаманця, для розшифрування. Якщо розшифрування пройшло успішно, мнемонічна фраза користувача відправляється на домен зловмисника `api.metrics-trustwallet[.]com`.

Ми також проаналізували інформацію про домен зловмисника; хакер використовував домен: metrics-trustwallet.com.

Згідно з розслідуванням, час реєстрації цього шкідливого домену був 2025-12-08 02:28:18, а реєстратор домену: NICENIC INTERNATIONA.

Записи запитів до api.metrics-trustwallet[.]com почалися 2025-12-21.

Ця часова мітка та впровадження бекдору з кодом 12.22 приблизно збігаються.

Ми продовжуємо відтворювати весь процес атаки за допомогою аналізу відстеження коду:

Завдяки динамічному аналізу видно, що після розблокування гаманця зловмисник заповнив інформацію про мнемоніку в помилку в R1.

І джерело цих даних про помилку отримується через виклик функції GET_SEED_PHRASE. Наразі Trust Wallet підтримує два способи розблокування: пароль та passkeyPassword. Зловмисник під час процесу розблокування отримав пароль або passkeyPassword, потім викликав GET_SEED_PHRASE, щоб отримати мнемонічну фразу гаманця (а також приватний ключ), а потім помістив мнемонічну фразу в "errorMessage".

Нижче наведено код, що використовує emit для виклику GetSeedPhrase, щоб отримати дані мнемонічної фрази та заповнити ними помилку.

Аналіз трафіку, виконаний через BurpSuite, показує, що після отримання мнемонічної фрази вона інкапсулюється в поле errorMessage тіла запиту і відправляється на шкідливий сервер (https[://]api[.]metrics-trustwallet[.]com), що узгоджується з попереднім аналізом.

Завдяки вищеописаному процесу крадіжка мнемонічної фрази/приватного ключа завершена. Крім того, зловмисник також знайомий з вихідним кодом і використовує платформу аналізу повного життєвого циклу продукту з відкритим вихідним кодом PostHogJS для збору інформації про гаманець користувача.

Аналіз вкрадених активів

(https://t.me/investigations/296)

Згідно з розкритою адресою хакера ZachXBT, ми підрахували, що на момент публікації загальна сума вкрадених активів у блокчейні bitcoin-btc-42">Біткоїн становить приблизно 33 BTC (оцінюється приблизно в 3 мільйони доларів США), вкрадені активи в блокчейні Solana оцінюються приблизно в 431 долар США, а вкрадені активи в ethereum-eth-143">Ефіріум mainnet та мережах Layer 2 оцінюються приблизно в 3 мільйони доларів США. Після крадіжки монет хакер використовував різні криптобіржі та крос-чейн мости для переказу та обміну частини активів.

Резюме

Цей інцидент із бекдором виник через шкідливу модифікацію коду у внутрішній кодовій базі розширення Trust Wallet (логіка аналітичного сервісу), а не через впровадження підробленого стороннього пакета (наприклад, шкідливого npm-пакета). Зловмисник безпосередньо змінив власний код програми, використовуючи легітимну бібліотеку PostHog для перенаправлення аналітичних даних на шкідливий сервер. Тому у нас є підстави вважати, що це була професійна APT-атака, під час якої зловмисник міг отримати контроль над пристроями розробників Trust Wallet або правами на розгортання релізу до 8 грудня.

Рекомендації:

1. Якщо ви встановили розширення-гаманець Trust Wallet, вам слід негайно відключитися від інтернету як передумову для розслідування та дій.

2. Негайно експортуйте свій приватний ключ/мнемонічну фразу та видаліть розширення-гаманець Trust Wallet.

3. Після резервного копіювання вашого приватного ключа/мнемонічної фрази оперативно перекажіть свої кошти на інший гаманець.

Посилання на оригінальну статтю