Originaltitel: „Christmas Heist | Analyse des Trust Wallet Extension Wallet Hacks“
Quelle: SlowMist Technology
Hintergrund
Heute früh, Ortszeit Peking, postete @zachxbt im Kanal eine Nachricht mit dem Inhalt: ‚Einige Trust Wallet-Nutzer haben gemeldet, dass in den letzten Stunden Gelder von ihren Wallet-Adressen gestohlen wurden.‘ Anschließend veröffentlichte auch das offizielle X-Konto von Trust Wallet eine offizielle Ankündigung, die bestätigte, dass Version 2.68 der Trust Wallet Browser-Erweiterung ein Sicherheitsrisiko darstellt, und forderte alle Nutzer von Version 2.68 auf, diese Version sofort zu deaktivieren und auf Version 2.69 zu aktualisieren.
Technische Vorgehensweise
Nach Erhalt der Informationen analysierte das Sicherheitsteam von SlowMist umgehend die relevanten Proben. Vergleichen wir zunächst den Kerncode der zuvor veröffentlichten Versionen 2.67 und 2.68:
Durch einen Code-Vergleich (Diff) der beiden Versionen wurde der vom Hacker hinzugefügte bösartige Code wie folgt identifiziert:
Der bösartige Code durchläuft alle Wallets in der Erweiterung, sendet für jedes Nutzer-Wallet eine ‚Seed-Phrase abrufen‘-Anfrage, um die verschlüsselte Seed-Phrase zu erhalten, und entschlüsselt sie schließlich mit dem Passwort oder passkeyPassword, das der Nutzer beim Entsperren des Wallets eingegeben hat. Wenn die Entschlüsselung erfolgreich ist, wird die Seed-Phrase des Nutzers an die Angreifer-Domain `api.metrics-trustwallet[.]com` gesendet.
Wir analysierten auch die Domain-Informationen des Angreifers; der Angreifer verwendete die Domain: metrics-trustwallet.com.
Bei einer Abfrage stellte sich heraus, dass die bösartige Domain am 08.12.2025 um 02:28:18 registriert wurde, bei der Domain-Registrierungsstelle: NICENIC INTERNATIONAL.
Am 21.12.2025 begannen die ersten Anfrageaufzeichnungen, die auf api.metrics-trustwallet[.]com abzielten, aufzutauchen:
Dieser Zeitplan stimmt eng mit dem Hintertür-Implantationsdatum 22.12. im Code überein.
Wir setzten die Verfolgung und Analyse des Codes fort, um den gesamten Angriffsprozess zu rekonstruieren:
Die dynamische Analyse zeigt, dass nach dem Entsperren des Wallets die Seed-Phrase-Informationen des Angreifers im Fehler innerhalb von R1 ausgefüllt werden können.
Die Quelle dieser Fehlerdaten wird durch einen Aufruf der Funktion GET_SEED_PHRASE erhalten. Derzeit unterstützt Trust Wallet zwei Entsperrmethoden: Passwort und passkeyPassword. Der Angreifer erhält das Passwort oder passkeyPassword während des Entsperrens, ruft dann GET_SEED_PHRASE auf, um die Seed-Phrase des Wallets abzurufen (private Schlüssel werden ähnlich behandelt), und platziert die Seed-Phrase in der ‚errorMessage‘.
Unten ist der Code, der emit verwendet, um GetSeedPhrase aufzurufen, die Seed-Phrase-Daten abruft und sie in den Fehler einfügt.
Eine mit BurpSuite durchgeführte Traffic-Analyse zeigt, dass die erhaltene Seed-Phrase im errorMessage-Feld des Anfrage-Bodys gekapselt und an den bösartigen Server (https[://]api[.]metrics-trustwallet[.]com) gesendet wird, was mit der früheren Analyse übereinstimmt.
Durch den obigen Prozess wird der Diebstahl der Seed-Phrases/privaten Schlüssel abgeschlossen. Darüber hinaus ist der Angreifer wahrscheinlich mit dem Quellcode der Erweiterung vertraut und nutzt die Open-Source-Produktanalyseplattform PostHogJS für die vollständige Verkettung, um Nutzer-Wallet-Informationen zu sammeln.
Analyse der gestohlenen Vermögenswerte
(https://t.me/investigations/296)
Basierend auf den von ZachXBT offengelegten Hacker-Adressen zeigen unsere Statistiken, dass zum Zeitpunkt des Verfassens die gesamten gestohlenen Vermögenswerte auf der Bitcoin-Kette etwa 33 BTC (im Wert von etwa 3 Millionen USD) betragen, die gestohlenen Vermögenswerte auf der Solana-Kette auf etwa 431 USD geschätzt werden und die gestohlenen Vermögenswerte auf dem Ethereum-Mainnet und verschiedenen Layer-2-Ketten etwa 3 Millionen USD wert sind. Nach dem Diebstahl der Vermögenswerte transferierte und tauschte der Hacker einige davon über verschiedene zentralisierte Börsen und Cross-Chain-Bridges.
Zusammenfassung
Dieser Hintertür-Vorfall entstand durch bösartige Quellcode-Modifikationen an der internen Codebasis der Trust Wallet-Erweiterung (Analytics-Service-Logik), nicht durch die Einführung manipulierter allgemeiner Drittanbieter-Pakete (wie bösartiger npm-Pakete). Der Angreifer manipulierte direkt den eigenen Code der Anwendung und nutzte die legitime PostHog-Bibliothek, um Analysedaten an einen bösartigen Server umzuleiten. Daher haben wir Grund zu der Annahme, dass es sich um einen ausgeklügelten APT-Angriff handelt, und der Angreifer könnte vor dem 8. Dezember die Kontrolle über Trust Wallet-bezogene Entwicklergeräteberechtigungen oder Veröffentlichungs-Bereitstellungsberechtigungen erlangt haben.
Empfehlungen:
1. Wenn Sie die Trust Wallet Extension Wallet installiert haben, sollten Sie sofort als Voraussetzung für Untersuchungen und Maßnahmen die Internetverbindung trennen.
2. Exportieren Sie sofort Ihre privaten Schlüssel/Seed-Phrase und deinstallieren Sie die Trust Wallet Extension Wallet.
3. Nachdem Sie Ihre privaten Schlüssel/Seed-Phrase gesichert haben, transferieren Sie Ihre Gelder so bald wie möglich in eine andere Wallet.
