Originaltitel: „Christmas Heist | Analyse des Trust Wallet Extension Hacks“
Originalquelle: SlowMist Technology
Hintergrund
Heute früh um Pekinger Zeit postete @zachxbt in einem Kanal: „Einige Trust Wallet Nutzer haben gemeldet, dass Gelder in ihren Wallet-Adressen in den letzten Stunden gestohlen wurden.“ Anschließend veröffentlichte auch das offizielle X-Konto von Trust Wallet eine offizielle Mitteilung, die bestätigte, dass Version 2.68 der Trust Wallet Browser-Erweiterung ein Sicherheitsrisiko darstellt, und riet allen Nutzern der Version 2.68, diese Version sofort zu deaktivieren und auf Version 2.69 zu aktualisieren.
Techniken und Taktiken
Nach Erhalt der Informationen analysierte das Sicherheitsteam von SlowMist umgehend relevante Proben. Lassen Sie uns zunächst den Kerncode der zuvor veröffentlichten Versionen 2.67 und 2.68 vergleichen:
Durch einen Code-Vergleich der beiden Versionen wurde der vom Hacker hinzugefügte schädliche Code wie folgt entdeckt:
Der schädliche Code durchläuft alle Wallets in der Erweiterung, sendet für jede Nutzer-Wallet eine „Seed-Phrase abrufen“-Anfrage, um die verschlüsselte Seed-Phrase zu erhalten, und entschlüsselt sie schließlich mit dem Passwort oder passkeyPassword, das der Nutzer beim Entsperren des Wallets eingegeben hat. Wenn die Entschlüsselung erfolgreich ist, wird die Seed-Phrase des Nutzers an die Angreifer-Domain `api.metrics-trustwallet[.]com` gesendet.
Wir analysierten auch die Domain-Informationen des Angreifers; der Angreifer verwendete die Domain: metrics-trustwallet.com.
Bei einer Abfrage wurde festgestellt, dass die schädliche Domain am 08.12.2025 um 02:28:18 Uhr registriert wurde, bei der Domain-Registrierungsstelle: NICENIC INTERNATIONAL.
Am 21.12.2025 begannen die ersten Anfrageaufzeichnungen, die auf api.metrics-trustwallet[.]com abzielten:
Dieser Zeitplan stimmt eng mit dem Implantationsdatum des Backdoors (22.12.) im Code überein.
Wir setzten die Verfolgung und Analyse des Codes fort, um den gesamten Angriffsprozess zu rekonstruieren:
Durch dynamische Analyse kann beobachtet werden, dass der Angreifer nach dem Entsperren des Wallets die Seed-Phrase-Informationen in den Fehler in R1 einfügt.
Die Quelle dieser Fehlerdaten wird über den GET_SEED_PHRASE-Funktionsaufruf erhalten. Derzeit unterstützt Trust Wallet zwei Entsperrmethoden: Passwort und passkeyPassword. Der Angreifer erhält das Passwort oder passkeyPassword während des Entsperrens, ruft dann GET_SEED_PHRASE auf, um die Seed-Phrase des Wallets abzurufen (private Schlüssel sind ähnlich), und platziert die Seed-Phrase in der ‚errorMessage‘.
Unten ist der Code, der emit verwendet, um GetSeedPhrase aufzurufen, die Seed-Phrase-Daten abzurufen und sie in den Fehler einzufügen.
Eine Traffic-Analyse mit BurpSuite zeigt, dass die Seed-Phrase nach dem Erhalt im errorMessage-Feld des Anfragekörpers gekapselt und an den schädlichen Server (https[://]api[.]metrics-trustwallet[.]com) gesendet wird, was mit der früheren Analyse übereinstimmt.
Durch den obigen Prozess ist der Diebstahl von Seed-Phrases/privaten Schlüsseln abgeschlossen. Zudem scheint der Angreifer mit dem Quellcode der Erweiterung vertraut zu sein und nutzt die Open-Source-Produktanalyseplattform PostHogJS für die vollständige Erfassung von Nutzer-Wallet-Informationen.
Analyse der gestohlenen Assets
(https://t.me/investigations/296)
Basierend auf den von ZachXBT offengelegten Hacker-Adressen zeigen unsere Statistiken, dass zum Zeitpunkt des Verfassens die gesamten gestohlenen Assets auf der Bitcoin-Kette etwa 33 BTC (im Wert von ca. 3 Millionen USD) betragen, gestohlene Assets auf der Solana-Kette auf etwa 431 USD geschätzt werden und gestohlene Assets auf dem Ethereum-Mainnet und verschiedenen Layer-2-Ketten auf etwa 3 Millionen USD geschätzt werden. Nach dem Diebstahl transferierte und tauschte der Hacker einige Assets über verschiedene zentralisierte Börsen und Cross-Chain-Bridges.
Zusammenfassung
Dieser Backdoor-Vorfall entstand durch bösartige Quellcode-Modifikationen an der internen Codebasis der Trust Wallet-Erweiterung (Analytics-Service-Logik), nicht durch die Einführung manipulierter generischer Drittanbieter-Pakete (wie bösartiger npm-Pakete). Der Angreifer manipulierte direkt den eigenen Code der Anwendung und nutzte die legitime PostHog-Bibliothek, um Analysedaten auf einen bösartigen Server umzuleiten. Daher haben wir Grund zu der Annahme, dass es sich um einen professionellen APT-Angriff handelte, und der Angreifer hatte wahrscheinlich vor dem 8. Dezember die Kontrolle über Trust Wallet-bezogene Entwicklergeräteberechtigungen oder Bereitstellungsfreigabeberechtigungen erlangt.
Empfehlungen:
1. Wenn Sie die Trust Wallet-Erweiterung installiert haben, sollten Sie sofort als Voraussetzung für Untersuchungen und Maßnahmen die Internetverbindung trennen.
2. Private Schlüssel/Seed-Phrases sofort exportieren und die Trust Wallet-Erweiterung deinstallieren.
3. Nach dem Sichern der privaten Schlüssel/Seed-Phrases Gelder umgehend auf andere Wallets transferieren.
