背景
日本時間の今朝早く、@zachxbtが自身のチャンネルで「一部のTrust Walletユーザーから、過去数時間の間にウォレットアドレスから資金が盗まれたとの報告があった」と投稿しました。その後、Trust Walletの公式アカウントも公式声明を発表し、Trust Walletブラウザ拡張機能のバージョン2.68にセキュリティリスクがあることを確認し、バージョン2.68を使用しているすべてのユーザーに直ちに無効化し、バージョン2.69にアップグレードするようアドバイスしました。
攻撃手法と技術
SlowMistセキュリティチームは、この情報を受けて直ちに関連サンプルの分析を開始しました。まず、以前にリリースされたバージョン2.67と2.68のコアコードの比較を見てみましょう:
2つのバージョンのコードを比較することで、攻撃者が追加した以下の悪意のあるコードが発見されました:
この悪意のあるコードは、プラグイン内のすべてのウォレットを繰り返し処理し、各ユーザーのウォレットに「ニーモニックフレーズを取得」するリクエストを送信して、ユーザーの暗号化されたニーモニックフレーズを取得します。最後に、ユーザーがウォレットのロック解除時に入力したパスワードまたはパスキーパスワードを使用してニーモニックフレーズを復号化します。復号化が成功すると、ユーザーのニーモニックフレーズが攻撃者のドメイン`api.metrics-trustwallet[.]com`に送信されます。
また、攻撃者のドメイン情報も分析しました。攻撃者は次のドメインを使用していました:metrics-trustwallet.com。
調査によると、この悪意のあるドメイン名は2025年12月8日 02:28:18に登録され、ドメイン名サービスプロバイダーはNICENIC INTERNATIONAです。
api.metrics-trustwallet[.]comへの最初のリクエストは、2025年12月21日に記録されました。
このタイミングは、バックドアがコード12.22に組み込まれた時期とほぼ完全に一致しています。
コードのトレースと分析を通じて、攻撃プロセス全体を再現しました:
動的分析により、ウォレットのロック解除後、攻撃者がR1のエラーフィールドにニーモニックフレーズ情報を埋めていることが確認できます。
このエラーデータのソースは、GET_SEED_PHRASE関数呼び出しを通じて取得されます。現在、Trust Walletはパスワードとパスキーパスワードの2つのロック解除方法をサポートしています。ロック解除時、攻撃者はパスワードまたはパスキーパスワードを取得し、その後GET_SEED_PHRASEを呼び出してウォレットのニーモニックフレーズ(秘密鍵も同様)を取得し、そのニーモニックフレーズを「errorMessage」に格納します。
以下は、emitを使用してGetSeedPhraseを呼び出し、ニーモニックフレーズデータを取得してerrorに格納するコードです。
BurpSuiteを使用したトラフィック分析では、ニーモニックフレーズを取得した後、リクエストボディのerrorMessageフィールドにカプセル化され、悪意のあるサーバー(https://api.metrics-trustwallet.com)に送信されることが示されました。これは以前の分析と一致しています。
以上のプロセスにより、ニーモニックフレーズ/秘密鍵の窃取攻撃が完了します。さらに、攻撃者は拡張機能のソースコードに精通しており、オープンソースのエンドツーエンド製品分析プラットフォームであるPostHogJSを利用してユーザーのウォレット情報を収集している可能性があります。
盗難された資産の分析
(https://t.me/investigations/296)
ZachXBTによって開示されたハッカーアドレスに基づく当チームの統計では、執筆時点で、ビットコインブロックチェーンから約33 BTC(約300万米ドル相当)の資産が、Solanaブロックチェーンから約431米ドルの資産が、イーサリアムメインネットやレイヤー2を含む様々なブロックチェーンから約300万米ドルの資産が盗まれました。盗難後、ハッカーは一部の資産を様々な集中型取引所やクロスチェーンブリッジを使用して送金および交換しました。
まとめ
このバックドア事件は、Trust Walletの内部コードベース(分析サービスロジック)に対する悪意のあるソースコード改変に起因するものであり、改ざんされた一般的なサードパーティパッケージ(悪意のあるnpmパッケージなど)の導入によるものではありません。攻撃者はアプリケーション自身のコードを直接改変し、正当なPostHogライブラリを使用して分析データを悪意のあるサーバーに転送しました。したがって、これは専門的なAPT攻撃であったと考えるに足る理由があり、攻撃者は12月8日以前にTrust Wallet開発者のデバイスまたはデプロイ権限を掌握していた可能性があります。
推奨事項:
1. Trust Wallet拡張機能ウォレットをインストールしている場合は、トラブルシューティングやいかなる行動をとる前提として、まずインターネットから切断してください。
2. 直ちに秘密鍵/ニーモニックフレーズをエクスポートし、Trust Wallet拡張機能ウォレットをアンインストールしてください。
3. 秘密鍵/ニーモニックフレーズをバックアップした後、できるだけ早く資金を別のウォレットに移してください。
