Contesto
Nelle prime ore di questa mattina, ora di Pechino, @zachxbt ha pubblicato un messaggio sul suo canale affermando che “alcuni utenti di Trust Wallet hanno segnalato che fondi sono stati sottratti dai loro indirizzi di portafoglio nelle ultime ore”. Successivamente, l’account ufficiale di Trust Wallet ha rilasciato una dichiarazione ufficiale confermando che l’estensione browser Trust Wallet versione 2.68 presenta un rischio per la sicurezza e consigliando a tutti gli utenti che utilizzano la versione 2.68 di disabilitarla immediatamente e aggiornare alla versione 2.69.
Tattiche e Tecniche
Dopo aver ricevuto l’intelligence, il team di sicurezza di SlowMist ha immediatamente iniziato ad analizzare i campioni rilevanti. Diamo prima un’occhiata a un confronto del codice principale delle versioni precedentemente rilasciate 2.67 e 2.68:
Effettuando il diff delle due versioni del codice, è stato scoperto il seguente codice malevolo aggiunto dall’hacker:
Il codice malevolo itera attraverso tutti i portafogli nel plugin e invia una richiesta “ottieni frase mnemonica” a ciascun portafoglio dell’utente per ottenere la frase mnemonica cifrata dell’utente. Infine, decifra la frase mnemonica utilizzando la password o la passkeyPassword inserita dall’utente durante lo sblocco del portafoglio. Se la decifrazione ha successo, la frase mnemonica dell’utente viene inviata al dominio dell’attaccante `api.metrics-trustwallet[.]com`.
Abbiamo anche analizzato le informazioni sul dominio dell’attaccante. L’attaccante ha utilizzato il dominio: metrics-trustwallet.com.
Secondo le indagini, il nome di dominio malevolo è stato registrato l’08-12-2025 alle 02:28:18, e il provider di servizi del nome di dominio è NICENIC INTERNATIONA.
La prima richiesta a api.metrics-trustwallet[.]com è stata registrata il 21 dicembre 2025.
Questo tempismo coincide quasi esattamente con il momento in cui la backdoor è stata impiantata nel codice il 22.12.
Abbiamo continuato a riprodurre l’intero processo di attacco tramite tracciamento e analisi del codice:
L’analisi dinamica rivela che dopo lo sblocco del portafoglio, gli aggressori possono essere visti riempire il campo errore con le informazioni della frase mnemonica in R1.
L’origine di questi dati di errore è ottenuta tramite la chiamata di funzione GET_SEED_PHRASE. Attualmente, Trust Wallet supporta due metodi di sblocco: password e passkeyPassword. Durante lo sblocco, l’aggressore ottiene la password o la passkeyPassword, quindi chiama GET_SEED_PHRASE per ottenere la frase mnemonica del portafoglio (la chiave privata è simile), e poi inserisce la frase mnemonica nell'”errorMessage”.
Di seguito è riportato il codice che utilizza emit per chiamare GetSeedPhrase per recuperare i dati della frase mnemonica e popolarli in error.
L’analisi del traffico utilizzando BurpSuite ha mostrato che dopo aver ottenuto la frase mnemonica, questa è stata incapsulata nel campo errorMessage del corpo della richiesta e inviata al server malevolo (https://api.metrics-trustwallet.com), il che è coerente con l’analisi precedente.
Il processo sopra descritto completa l’attacco di furto della frase mnemonica/chiave privata. Inoltre, gli aggressori sono probabilmente familiari con il codice sorgente esteso, utilizzando la piattaforma di analisi dei prodotti end-to-end open-source PostHogJS per raccogliere informazioni sui portafogli degli utenti.
Analisi degli asset sottratti
(https://t.me/investigations/296)
Secondo gli indirizzi degli hacker divulgati da ZachXBT, le nostre statistiche mostrano che, al momento della stesura, sono stati sottratti circa 33 BTC (valore circa 3 milioni di USD) di asset dalla blockchain Bitcoin, circa 431 USD dalla blockchain Solana e circa 3 milioni di USD da varie blockchain tra cui la mainnet di Ethereum e Layer 2. Dopo il furto, gli hacker hanno trasferito e scambiato parte degli asset utilizzando vari exchange centralizzati e bridge cross-chain.
Riepilogo
Questo incidente di backdoor è derivato da una modifica malevola del codice sorgente del repository interno di Trust Wallet (logica del servizio di analisi), piuttosto che dall’introduzione di un pacchetto di terze parti generico manomesso (come un pacchetto npm malevolo). Gli aggressori hanno modificato direttamente il codice dell’applicazione stessa, utilizzando la libreria legittima PostHog per reindirizzare i dati analitici a un server malevolo. Pertanto, abbiamo motivo di credere che si sia trattato di un attacco APT professionale, e gli aggressori potrebbero aver ottenuto il controllo dei dispositivi o dei permessi di distribuzione degli sviluppatori di Trust Wallet prima dell’8 dicembre.
Suggerimenti:
1. Se hai installato l’estensione del portafoglio Trust Wallet, dovresti disconnettersi da Internet immediatamente come prerequisito per la risoluzione dei problemi e per intraprendere qualsiasi azione.
2. Esporta immediatamente la tua chiave privata/frase mnemonica e disinstalla l’estensione del portafoglio Trust Wallet.
3. Dopo aver eseguito il backup della tua chiave privata/frase mnemonica, trasferisci i tuoi fondi a un altro portafoglio il prima possibile.
