元タイトル: 「クリスマスの大規模窃盗|Trust Wallet拡張機能ウォレットハッキングの分析」
情報源: SlowMist Technology
背景
北京時間の今朝早く、@zachxbtがチャンネルで「一部のTrust Walletユーザーが、過去数時間の間にウォレットアドレス内の資金が盗まれたと報告している」とのメッセージを投稿しました。その後、Trust Walletの公式Xアカウントも公式発表をリリースし、Trust Walletブラウザ拡張機能のバージョン2.68にセキュリティリスクが存在することを確認し、バージョン2.68の全ユーザーに対し、直ちにそのバージョンを無効化し、バージョン2.69へアップグレードするよう呼びかけました。
技術的手法
情報を受け取ると、SlowMistセキュリティチームは直ちに関連サンプルを分析しました。まず、以前リリースされたバージョン2.67と2.68のコアコードを比較してみましょう:
2つのバージョンのコードを差分比較することで、ハッカーによって追加された悪意のあるコードは以下の通りであることが特定されました:
この悪意のあるコードは、拡張機能内の全てのウォレットを反復処理し、各ユーザーウォレットに対して「シードフレーズ取得」リクエストを送信して暗号化されたシードフレーズを取得し、最終的にウォレットのロック解除時にユーザーが入力したパスワードまたはパスキーパスワードを使用して復号します。復号が成功すると、ユーザーのシードフレーズは攻撃者のドメイン `api.metrics-trustwallet[.]com` に送信されます。
また、攻撃者のドメイン情報も分析しました。攻撃者は以下のドメインを使用していました:metrics-trustwallet.com。
調査したところ、この悪意のあるドメインは2025年12月8日 02:28:18に登録されており、ドメインレジストラはNICENIC INTERNATIONALでした。
2025年12月21日、api.metrics-trustwallet[.]comを標的とした最初のリクエスト記録が現れ始めました:
このタイムラインは、コード内のバックドア埋め込み日付である12月22日とほぼ一致しています。
我々はコードの追跡と分析を続け、攻撃プロセス全体を再構築しました:
動的解析により、ウォレットのロック解除後、攻撃者のシードフレーズ情報がR1内のエラーに格納されているのが確認できます。
このErrorデータのソースは、GET_SEED_PHRASE関数の呼び出しを通じて取得されます。現在、Trust Walletはパスワードとパスキーパスワードの2つのロック解除方法をサポートしています。攻撃者はロック解除時にパスワードまたはパスキーパスワードを取得し、その後GET_SEED_PHRASEを呼び出してウォレットのシードフレーズ(秘密鍵も同様に処理)を取得し、そのシードフレーズを「errorMessage」に格納します。
以下は、emitを使用してGetSeedPhraseを呼び出し、シードフレーズデータを取得してエラーに格納するコードです。
BurpSuiteで実施したトラフィック分析では、シードフレーズを取得した後、それがリクエストボディのerrorMessageフィールドにカプセル化され、悪意のあるサーバー(https[://]api[.]metrics-trustwallet[.]com)に送信されることが示されています。これは先の分析と一致しています。
上記のプロセスを通じて、シードフレーズ/秘密鍵の窃盗が完了します。さらに、攻撃者は拡張機能のソースコードに精通している可能性が高く、オープンソースのフルリンク製品分析プラットフォームPostHogJSを利用してユーザーのウォレット情報を収集しています。
盗難資産の分析
(https://t.me/investigations/296)
ZachXBTによって開示されたハッカーアドレスに基づく我々の統計では、執筆時点で、ビットコインチェーンでの盗難資産総額は約33 BTC(約300万米ドル相当)、ソラナチェーンでの盗難資産は約431米ドル相当、イーサリアムメインネットおよび各種レイヤー2チェーンでの盗難資産は約300万米ドル相当となっています。資産を盗んだ後、ハッカーは様々な中央集権型取引所やクロスチェーンブリッジを使用して一部の資産を移転・交換しました。
まとめ
このバックドア事件は、Trust Wallet拡張機能の内部コードベース(分析サービスロジック)への悪意のあるソースコード改変に端を発しており、改ざんされた一般的なサードパーティパッケージ(悪意のあるnpmパッケージなど)の導入によるものではありません。攻撃者はアプリケーション自身のコードを直接改ざんし、正当なPostHogライブラリを利用して分析データを悪意のあるサーバーにリダイレクトさせました。したがって、我々はこれが高度なAPT攻撃であり、攻撃者は12月8日以前にTrust Wallet関連の開発者デバイスの権限またはリリース展開権限を掌握していた可能性があると考えるに足る理由があります。
推奨事項:
1. Trust Wallet拡張機能ウォレットをインストールしている場合は、調査と操作の前提として直ちにインターネットから切断してください。
2. 直ちに秘密鍵/シードフレーズをエクスポートし、Trust Wallet拡張機能ウォレットをアンインストールしてください。
3. 秘密鍵/シードフレーズをバックアップした後、できるだけ早く資金を別のウォレットに移してください。
