Título original: «Christmas Heist | Analysis of Trust Wallet Extension Wallet Hack»
Fuente: SlowMist Technology
Antecedentes
A primera hora de esta mañana, hora de Pekín, @zachxbt publicó un mensaje en el canal afirmando: «Algunos usuarios de Trust Wallet han informado de que los fondos de sus direcciones de cartera fueron robados en las últimas horas». Posteriormente, la cuenta oficial de X de Trust Wallet también publicó un anuncio oficial confirmando que la versión 2.68 de la extensión de navegador de Trust Wallet presenta un riesgo de seguridad, e instó a todos los usuarios de la versión 2.68 a desactivar inmediatamente esa versión y actualizar a la versión 2.69.
Tácticas técnicas
Tras recibir la información, el equipo de seguridad de SlowMist analizó rápidamente las muestras relevantes. Primero, comparemos el código central de las versiones 2.67 y 2.68 publicadas anteriormente:
Al comparar el código de las dos versiones, se identificó el código malicioso añadido por el hacker de la siguiente manera:
El código malicioso recorre todas las carteras en la extensión, envía una solicitud de «recuperación de frase semilla» para cada cartera de usuario para obtener la frase semilla cifrada y, finalmente, la descifra utilizando la contraseña o passkeyPassword introducida por el usuario al desbloquear la cartera. Si el descifrado tiene éxito, la frase semilla del usuario se envía al dominio del atacante `api.metrics-trustwallet[.]com`.
También analizamos la información del dominio del atacante; el atacante utilizó el dominio: metrics-trustwallet.com.
Al consultar, el dominio malicioso se registró el 8 de diciembre de 2025 a las 02:28:18, con el registrador de dominios: NICENIC INTERNATIONA.
El 21 de diciembre de 2025, comenzaron a aparecer los primeros registros de solicitudes dirigidas a api.metrics-trustwallet[.]com:
Esta línea temporal coincide estrechamente con la fecha de implantación de la puerta trasera del 22 de diciembre en el código.
Seguimos rastreando y analizando el código para reconstruir todo el proceso de ataque:
El análisis dinámico muestra que, tras desbloquear la cartera, la información de la frase semilla del atacante puede verse rellenada en el error dentro de R1.
El origen de estos datos de Error se obtiene mediante una llamada a la función GET_SEED_PHRASE. Actualmente, Trust Wallet admite dos métodos de desbloqueo: contraseña y passkeyPassword. El atacante obtiene la contraseña o passkeyPassword durante el desbloqueo, luego llama a GET_SEED_PHRASE para recuperar la frase semilla de la cartera (las claves privadas se manejan de manera similar) y coloca la frase semilla en el «errorMessage».
A continuación se muestra el código que utiliza emit para llamar a GetSeedPhrase, recupera los datos de la frase semilla y los rellena en el error.
El análisis de tráfico realizado con BurpSuite muestra que, tras obtener la frase semilla, esta se encapsula en el campo errorMessage del cuerpo de la solicitud y se envía al servidor malicioso (https[://]api[.]metrics-trustwallet[.]com), lo que coincide con el análisis anterior.
A través del proceso anterior, se completa el robo de frases semilla/claves privadas. Además, es probable que el atacante esté familiarizado con el código fuente de la extensión, aprovechando la plataforma de análisis de productos de cadena completa de código abierto PostHogJS para recopilar información de las carteras de los usuarios.
Análisis de activos robados
(https://t.me/investigations/296)
Según las direcciones del hacker reveladas por ZachXBT, nuestras estadísticas muestran que, hasta el momento de redactar este informe, el total de activos robados en la cadena de Bitcoin asciende a aproximadamente 33 BTC (con un valor de unos 3 millones de USD), los activos robados en la cadena de Solana están valorados en unos 431 USD, y los activos robados en la red principal de Ethereum y varias cadenas de capa 2 tienen un valor aproximado de 3 millones de USD. Tras robar los activos, el hacker transfirió e intercambió parte de ellos utilizando varios intercambios centralizados y puentes de cadena cruzada.
Resumen
Este incidente de puerta trasera se originó por modificaciones maliciosas del código fuente en la base de código interna de la extensión de Trust Wallet (lógica del servicio de análisis), y no por la introducción de paquetes de terceros generales manipulados (como paquetes npm maliciosos). El atacante manipuló directamente el código propio de la aplicación, aprovechando la librería legítima PostHog para redirigir los datos de análisis a un servidor malicioso. Por lo tanto, tenemos motivos para creer que se trata de un sofisticado ataque APT, y es posible que el atacante haya obtenido control sobre los permisos de los dispositivos de los desarrolladores relacionados con Trust Wallet o los permisos de implementación de versiones antes del 8 de diciembre.
Recomendaciones:
1. Si has instalado la cartera de extensión de Trust Wallet, debes desconectarte inmediatamente de internet como requisito previo para la investigación y las operaciones.
2. Exporta inmediatamente tus claves privadas/frase semilla y desinstala la cartera de extensión de Trust Wallet.
3. Después de hacer una copia de seguridad de tus claves privadas/frase semilla, transfiere tus fondos a otra cartera lo antes posible.
