原題: 「クリスマスの強奪 | Trust Wallet拡張機能ハッキング事件の分析」
情報源: SlowMist Technology
背景
日本時間の今朝早く、@zachxbtがチャンネルで投稿し、「一部のTrust Walletユーザーから、過去数時間以内にウォレットアドレスの資金が盗まれたとの報告がある」と述べました。その後、Trust Walletの公式Xアカウントも公式発表を行い、Trust Walletブラウザ拡張機能のバージョン2.68にセキュリティリスクがあることを確認し、バージョン2.68を使用しているすべてのユーザーに対して、直ちにそのバージョンを無効化し、バージョン2.69にアップグレードするよう勧告しました。
手法と戦術
情報を受領した後、SlowMistセキュリティチームは速やかに関連サンプルを分析しました。まず、以前にリリースされたバージョン2.67と2.68のコアコードを比較してみましょう:
2つのバージョンのコードを差分比較することで、ハッカーによって追加された悪意のあるコードが以下のように発見されました:
この悪意のあるコードは、拡張機能内のすべてのウォレットを反復処理し、各ユーザーウォレットに対して「シードフレーズ取得」リクエストを送信して暗号化されたシードフレーズを取得し、最終的にはユーザーがウォレットをロック解除する際に入力したパスワードまたはパスキーパスワードを使用して復号化します。復号化に成功すると、ユーザーのシードフレーズは攻撃者のドメイン `api.metrics-trustwallet[.]com` に送信されます。
また、攻撃者のドメイン情報も分析しました。攻撃者は以下のドメインを使用していました: metrics-trustwallet.com。
調査したところ、この悪意のあるドメインは2025年12月8日 02:28:18に登録されており、ドメインレジストラはNICENIC INTERNATIONALでした。
2025年12月21日、api.metrics-trustwallet[.]comを標的とした最初のリクエスト記録が始まりました:
このタイムラインは、コード内のバックドア埋め込み日付である12月22日とほぼ一致しています。
我々はコードの追跡と分析を続け、攻撃プロセス全体を再構築しました:
動的分析を通じて、ウォレットのロック解除後、攻撃者がシードフレーズ情報をR1のエラーに埋め込んでいることが観察できます。
このエラーデータのソースは、GET_SEED_PHRASE関数呼び出しを通じて取得されます。現在、Trust Walletはパスワードとパスキーパスワードという2つのロック解除方法をサポートしています。攻撃者はロック解除時にパスワードまたはパスキーパスワードを取得し、その後GET_SEED_PHRASEを呼び出してウォレットのシードフレーズ(秘密鍵も同様)を取得し、そのシードフレーズを「errorMessage」に配置します。
以下は、emitを使用してGetSeedPhraseを呼び出し、シードフレーズデータを取得してエラーに埋め込むコードです。
BurpSuiteによるトラフィック分析によると、シードフレーズを取得した後、それはリクエストボディのerrorMessageフィールドにカプセル化され、悪意のあるサーバー (https[://]api[.]metrics-trustwallet[.]com) に送信されます。これは先の分析と一致しています。
上記のプロセスを通じて、シードフレーズ/秘密鍵の窃取が完了します。さらに、攻撃者は拡張機能のソースコードに精通しているようで、オープンソースのフルリンク製品分析プラットフォームであるPostHogJSを活用してユーザーウォレット情報を収集しています。
盗難資産の分析
(https://t.me/investigations/296)
ZachXBTによって開示されたハッカーアドレスに基づく我々の統計によると、執筆時点で、ビットコインチェーンでの盗難資産の総額は約33 BTC(約300万米ドル相当)、ソラナチェーンでの盗難資産は約431米ドル相当、イーサリアムメインネットおよび各種レイヤー2チェーンでの盗難資産は約300万米ドル相当です。資金を盗んだ後、ハッカーは様々な集中型取引所やクロスチェーンブリッジを使用して一部の資産を送金・交換しました。
まとめ
このバックドア事件は、Trust Wallet拡張機能の内部コードベース(分析サービスロジック)に対する悪意のあるソースコード改ざんに起因するものであり、改ざんされた一般的なサードパーティパッケージ(悪意のあるnpmパッケージなど)の導入によるものではありません。攻撃者はアプリケーション自身のコードを直接改ざんし、正当なPostHogライブラリを利用して分析データを悪意のあるサーバーにリダイレクトさせました。したがって、我々はこれがプロフェッショナルなAPT攻撃であり、攻撃者はおそらく12月8日以前にTrust Wallet関連の開発者デバイスの権限またはデプロイリリース権限を掌握していたと考えるに足る理由があります。
推奨事項:
1. Trust Wallet拡張機能をインストールしている場合は、調査と操作の前提条件として、直ちにインターネットから切断してください。
2. 直ちに秘密鍵/シードフレーズをエクスポートし、Trust Wallet拡張機能をアンインストールしてください。
3. 秘密鍵/シードフレーズをバックアップした後、速やかに資金を他のウォレットに移してください。
