Vụ trộm Giáng sinh tiền điện tử: Hơn 6 triệu USD bị mất, phân tích vụ hack ví Trust Wallet trên Chrome

Tiêu đề gốc: "Christmas Heist | Trust Wallet Browser Extension Wallet Hacked Analysis"

Nguồn gốc: SlowMist Technology

Background

Sáng sớm nay theo giờ Bắc Kinh, @zachxbt đã thông báo trên kênh của mình: "Một số người dùng Trust Wallet báo cáo rằng tiền trong địa chỉ ví của họ đã bị đánh cắp trong vài giờ qua." Ngay sau đó, tài khoản X chính thức của Trust Wallet cũng đã đưa ra tuyên bố xác nhận lỗ hổng bảo mật trong tiện ích mở rộng trình duyệt Trust Wallet phiên bản 2.68, đồng thời khuyến cáo tất cả người dùng đang sử dụng phiên bản 2.68 nên vô hiệu hóa phiên bản này ngay lập tức và nâng cấp lên phiên bản 2.69.

Tactics

Sau khi nhận được thông tin, đội ngũ bảo mật SlowMist đã nhanh chóng tiến hành phân tích các mẫu liên quan. Trước hết, hãy so sánh mã nguồn cốt lõi của phiên bản 2.67 và 2.68 đã phát hành trước đó:

Bằng cách so sánh mã của hai phiên bản, chúng tôi đã tìm thấy mã độc do hacker thêm vào:

Mã độc này sẽ duyệt qua tất cả các ví trong plugin, thực hiện yêu cầu "lấy cụm từ khôi phục" (mnemonic phrase) cho ví của mỗi người dùng để lấy cụm từ khôi phục đã mã hóa, và cuối cùng sử dụng mật khẩu hoặc passkeyPassword mà người dùng đã nhập khi mở khóa ví để giải mã. Nếu giải mã thành công, cụm từ khôi phục của người dùng sẽ được gửi đến tên miền của kẻ tấn công `api.metrics-trustwallet[.]com`.

Chúng tôi cũng đã phân tích thông tin tên miền của kẻ tấn công; kẻ tấn công đã sử dụng tên miền: metrics-trustwallet.com.

Sau khi điều tra, thời gian đăng ký của tên miền độc hại này là 2025-12-08 02:28:18 và nhà đăng ký tên miền là: NICENIC INTERNATIONA.

Các bản ghi yêu cầu nhắm vào api.metrics-trustwallet[.]com bắt đầu từ ngày 2025-12-21.

Dấu thời gian này và việc cài cắm backdoor với mã 12.22 gần như trùng khớp.

Chúng tôi tiếp tục tái hiện toàn bộ quá trình tấn công thông qua phân tích theo dõi mã:

Thông qua phân tích động, có thể thấy rằng sau khi mở khóa ví, kẻ tấn công đã điền thông tin cụm từ khôi phục vào lỗi trong R1.

Và nguồn của dữ liệu Lỗi này thu được thông qua lệnh gọi hàm GET_SEED_PHRASE. Hiện tại, Trust Wallet hỗ trợ hai cách để mở khóa: mật khẩu và passkeyPassword. Kẻ tấn công, trong quá trình mở khóa, đã lấy được mật khẩu hoặc passkeyPassword, sau đó gọi GET_SEED_PHRASE để lấy cụm từ khôi phục của ví (cũng như khóa cá nhân), rồi đặt cụm từ khôi phục vào "errorMessage".

Dưới đây là mã sử dụng emit để gọi GetSeedPhrase nhằm lấy dữ liệu cụm từ khôi phục và điền vào lỗi.

Phân tích lưu lượng truy cập được thực hiện thông qua BurpSuite cho thấy sau khi lấy được cụm từ khôi phục, nó được đóng gói trong trường errorMessage của phần thân yêu cầu và gửi đến một máy chủ độc hại (https[://]api[.]metrics-trustwallet[.]com), điều này nhất quán với phân tích trước đó.

Thông qua quy trình trên, việc đánh cắp cụm từ khôi phục/khóa cá nhân đã hoàn tất. Ngoài ra, kẻ tấn công cũng rất quen thuộc với mã nguồn và sử dụng nền tảng phân tích sản phẩm toàn vòng đời mã nguồn mở PostHogJS để thu thập thông tin ví của người dùng.

Stolen Asset Analysis

(https://t.me/investigations/296)

Theo địa chỉ hacker do ZachXBT tiết lộ, chúng tôi đã tính toán rằng tính đến thời điểm xuất bản, tổng số tài sản bị đánh cắp trên blockchain Bitcoin là khoảng 33 BTC (trị giá khoảng 3 triệu USD), tài sản bị đánh cắp trên blockchain Solana trị giá khoảng 431 USD, và tài sản bị đánh cắp trên mainnet Ethereum và các chuỗi Layer 2 trị giá khoảng 3 triệu USD. Sau khi đánh cắp số coin, hacker đã sử dụng nhiều sàn giao dịch tập trung và cầu nối cross-chain để chuyển và trao đổi một số tài sản.

Summary

Sự cố backdoor này bắt nguồn từ việc sửa đổi mã độc hại đối với cơ sở mã nội bộ của tiện ích Trust Wallet (logic dịch vụ phân tích), thay vì việc đưa vào một gói bên thứ ba bị giả mạo (chẳng hạn như một gói npm độc hại). Kẻ tấn công đã trực tiếp thay đổi mã của chính ứng dụng, sử dụng thư viện PostHog hợp pháp để chuyển hướng dữ liệu phân tích đến một máy chủ độc hại. Do đó, chúng tôi có lý do để tin rằng đây là một cuộc tấn công APT chuyên nghiệp, nơi kẻ tấn công có thể đã giành quyền kiểm soát thiết bị của các nhà phát triển liên quan đến Trust Wallet hoặc quyền triển khai phát hành trước ngày 8 tháng 12.

Khuyến nghị:

1. Nếu bạn đã cài đặt tiện ích ví Trust Wallet, bạn nên ngắt kết nối internet ngay lập tức như một điều kiện tiên quyết để điều tra và thực hiện các hành động.

2. Xuất ngay private key/cụm từ khôi phục của bạn và gỡ cài đặt tiện ích ví Trust Wallet.

3. Sau khi sao lưu khóa cá nhân/cụm từ khôi phục, hãy nhanh chóng chuyển tiền của bạn sang một ví khác.

Original Article Link