Titolo originale: “Christmas Heist | Analysis of the Trust Wallet Extension Hack”
Fonte originale: SlowMist Technology
Contesto
Questa mattina presto, ora di Pechino, @zachxbt ha pubblicato in un canale affermando: ‘Alcuni utenti di Trust Wallet hanno segnalato che i fondi nei loro indirizzi wallet sono stati rubati nelle ultime ore.’ Successivamente, l’account X ufficiale di Trust Wallet ha rilasciato un annuncio ufficiale confermando che la versione 2.68 dell’estensione browser Trust Wallet presenta un rischio per la sicurezza, consigliando a tutti gli utenti sulla versione 2.68 di disabilitare immediatamente quella versione e aggiornare alla versione 2.69.
Tecniche e Tattiche
Dopo aver ricevuto le informazioni, il team di sicurezza di SlowMist ha prontamente analizzato i campioni rilevanti. Per prima cosa, confrontiamo il codice core delle versioni precedentemente rilasciate 2.67 e 2.68:
Effettuando un diff del codice delle due versioni, è stato scoperto il codice malevolo aggiunto dall’hacker come segue:
Il codice malevolo itera attraverso tutti i wallet nell’estensione, invia una richiesta ‘recupera frase di recupero’ per ogni wallet utente per ottenere la frase di recupero crittografata e infine la decrittografa utilizzando la password o la passkeyPassword inserita dall’utente durante lo sblocco del wallet. Se la decrittazione riesce, la frase di recupero dell’utente viene inviata al dominio dell’attaccante `api.metrics-trustwallet[.]com`.
Abbiamo anche analizzato le informazioni sul dominio dell’attaccante; l’attaccante ha utilizzato il dominio: metrics-trustwallet.com.
Dalla verifica, il dominio malevolo è stato registrato il 2025-12-08 02:28:18, con il registrar di dominio: NICENIC INTERNATIONAL.
Il 2025-12-21, sono iniziate le prime richieste di registrazione indirizzate a api.metrics-trustwallet[.]com:
Questa linea temporale si allinea strettamente con la data di impianto della backdoor del 22.12 nel codice.
Abbiamo continuato a tracciare e analizzare il codice per ricostruire l’intero processo di attacco:
Attraverso l’analisi dinamica, si può osservare che dopo lo sblocco del wallet, l’attaccante popola le informazioni della frase di recupero nell’errore in R1.
La fonte di questi dati Error viene ottenuta tramite la chiamata alla funzione GET_SEED_PHRASE. Attualmente, Trust Wallet supporta due metodi di sblocco: password e passkeyPassword. L’attaccante ottiene la password o la passkeyPassword durante lo sblocco, quindi chiama GET_SEED_PHRASE per recuperare la frase di recupero del wallet (le chiavi private sono simili) e posiziona la frase di recupero nel ‘errorMessage’.
Di seguito è riportato il codice che utilizza emit per chiamare GetSeedPhrase, recuperare i dati della frase di recupero e popolarli nell’errore.
L’analisi del traffico tramite BurpSuite mostra che dopo aver ottenuto la frase di recupero, questa viene incapsulata nel campo errorMessage del corpo della richiesta e inviata al server malevolo (https[://]api[.]metrics-trustwallet[.]com), coerente con l’analisi precedente.
Attraverso il processo sopra descritto, il furto delle frasi di recupero/chiavi private è completato. Inoltre, l’attaccante sembra familiare con il codice sorgente dell’estensione, sfruttando la piattaforma di analisi del prodotto open-source a ciclo completo PostHogJS per raccogliere informazioni sui wallet degli utenti.
Analisi delle Attività Rubate
(https://t.me/investigations/296)
Sulla base degli indirizzi hacker divulgati da ZachXBT, le nostre statistiche mostrano che al momento della stesura, il totale delle attività rubate sulla catena Bitcoin ammonta a circa 33 BTC (valore circa 3 milioni di USD), le attività rubate sulla catena Solana sono valutate intorno a 431 USD e le attività rubate sulla mainnet Ethereum e varie catene Layer 2 sono valutate approssimativamente a 3 milioni di USD. Dopo aver rubato i fondi, l’hacker ha trasferito e scambiato alcune attività utilizzando vari exchange centralizzati e ponti cross-chain.
Riepilogo
Questo incidente di backdoor ha avuto origine da modifiche malevole al codice sorgente del codice interno dell’estensione Trust Wallet (logica del servizio di analisi), piuttosto che dall’introduzione di pacchetti di terze parti generici manomessi (come pacchetti npm malevoli). L’attaccante ha manomesso direttamente il codice proprio dell’applicazione, sfruttando la libreria legittima PostHog per reindirizzare i dati di analisi a un server malevolo. Pertanto, abbiamo motivo di credere che si sia trattato di un attacco APT professionale, e l’attaccante probabilmente ha ottenuto il controllo dei permessi del dispositivo dello sviluppatore correlato a Trust Wallet o dei permessi di rilascio del deployment prima dell’8 dicembre.
Raccomandazioni:
1. Se hai installato l’estensione Trust Wallet, dovresti immediatamente disconnetterti da Internet come prerequisito per le indagini e le operazioni.
2. Esportare immediatamente le chiavi private/frasi di recupero e disinstallare l’estensione Trust Wallet.
3. Dopo aver eseguito il backup delle chiavi private/frasi di recupero, trasferire prontamente i fondi ad altri wallet.
