Título original: «Christmas Heist | Analysis of the Trust Wallet Extension Hack»
Fuente original: SlowMist Technology
Antecedentes
A primera hora de esta mañana, hora de Pekín, @zachxbt publicó en un canal afirmando: «Algunos usuarios de Trust Wallet han informado de que los fondos de sus direcciones de cartera fueron robados en las últimas horas». Posteriormente, la cuenta oficial de X de Trust Wallet también publicó un anuncio oficial confirmando que la versión 2.68 de la extensión de navegador de Trust Wallet presenta un riesgo de seguridad, y aconsejó a todos los usuarios de la versión 2.68 que deshabilitaran inmediatamente esa versión y actualizaran a la versión 2.69.
Técnicas y tácticas
Tras recibir la información, el equipo de seguridad de SlowMist analizó con prontitud las muestras relevantes. En primer lugar, comparemos el código central de las versiones 2.67 y 2.68 publicadas anteriormente:
Al comparar el código de las dos versiones, se descubrió el código malicioso añadido por el hacker, que es el siguiente:
El código malicioso itera por todas las carteras de la extensión, envía una solicitud de «recuperación de frase semilla» para cada cartera de usuario para obtener la frase semilla cifrada y, finalmente, la descifra utilizando la contraseña o passkeyPassword introducida por el usuario al desbloquear la cartera. Si el descifrado tiene éxito, la frase semilla del usuario se envía al dominio del atacante `api.metrics-trustwallet[.]com`.
También analizamos la información del dominio del atacante; el atacante utilizó el dominio: metrics-trustwallet.com.
Al consultar, el dominio malicioso se registró el 8 de diciembre de 2025 a las 02:28:18, con el registrador de dominios: NICENIC INTERNATIONAL.
El 21 de diciembre de 2025, comenzaron los primeros registros de solicitudes dirigidas a api.metrics-trustwallet[.]com:
Esta línea temporal coincide estrechamente con la fecha de implantación de la puerta trasera del 22 de diciembre en el código.
Seguimos rastreando y analizando el código para reconstruir todo el proceso de ataque:
Mediante análisis dinámico, se puede observar que, tras desbloquear la cartera, el atacante rellena la información de la frase semilla en el error en R1.
El origen de estos datos de Error se obtiene mediante la llamada a la función GET_SEED_PHRASE. Actualmente, Trust Wallet admite dos métodos de desbloqueo: contraseña y passkeyPassword. El atacante obtiene la contraseña o passkeyPassword durante el desbloqueo, luego llama a GET_SEED_PHRASE para recuperar la frase semilla de la cartera (las claves privadas son similares) y coloca la frase semilla en el «errorMessage».
A continuación se muestra el código que utiliza emit para llamar a GetSeedPhrase, recuperar los datos de la frase semilla y rellenar el error con ellos.
El análisis de tráfico mediante BurpSuite muestra que, tras obtener la frase semilla, se encapsula en el campo errorMessage del cuerpo de la solicitud y se envía al servidor malicioso (https[://]api[.]metrics-trustwallet[.]com), lo que coincide con el análisis anterior.
A través del proceso anterior, se completa el robo de frases semilla/claves privadas. Además, el atacante parece familiarizado con el código fuente de la extensión, aprovechando la plataforma de análisis de productos de cadena completa de código abierto PostHogJS para recopilar información de las carteras de los usuarios.
Análisis de activos robados
(https://t.me/investigations/296)
Según las direcciones del hacker reveladas por ZachXBT, nuestras estadísticas muestran que, hasta el momento de redactar este informe, el total de activos robados en la cadena de Bitcoin asciende a aproximadamente 33 BTC (con un valor de unos 3 millones de USD), los activos robados en la cadena de Solana tienen un valor de unos 431 USD, y los activos robados en la red principal de Ethereum y varias cadenas de capa 2 tienen un valor aproximado de 3 millones de USD. Tras robar los fondos, el hacker transfirió e intercambió algunos activos utilizando varios intercambios centralizados y puentes entre cadenas.
Resumen
Este incidente de puerta trasera se originó a partir de modificaciones maliciosas del código fuente en el código interno de la extensión de Trust Wallet (lógica del servicio de análisis), y no por la introducción de paquetes genéricos de terceros manipulados (como paquetes npm maliciosos). El atacante manipuló directamente el código propio de la aplicación, aprovechando la biblioteca legítima PostHog para redirigir los datos de análisis a un servidor malicioso. Por lo tanto, tenemos motivos para creer que se trató de un ataque APT profesional, y es probable que el atacante obtuviera el control de los permisos del dispositivo del desarrollador relacionado con Trust Wallet o de los permisos de despliegue y publicación antes del 8 de diciembre.
Recomendaciones:
1. Si has instalado la extensión de Trust Wallet, deberías desconectarte inmediatamente de internet como requisito previo para la investigación y las operaciones.
2. Exporta inmediatamente las claves privadas/frases semilla y desinstala la extensión de Trust Wallet.
3. Tras hacer una copia de seguridad de las claves privadas/frases semilla, transfiere con prontitud los fondos a otras carteras.
