Antecedentes
Hoje de madrugada, horário de Pequim, @zachxbt publicou uma mensagem em seu canal afirmando que “alguns usuários da Trust Wallet relataram que fundos foram roubados de seus endereços de carteira nas últimas horas”. Posteriormente, a conta oficial da Trust Wallet também divulgou um comunicado oficial confirmando que a versão 2.68 da extensão de navegador da Trust Wallet apresenta um risco de segurança e aconselhando todos os usuários da versão 2.68 a desativá-la imediatamente e atualizar para a versão 2.69.
Táticas e Técnicas
Ao receber a inteligência, a equipe de segurança da SlowMist iniciou imediatamente a análise das amostras relevantes. Vamos primeiro observar uma comparação do código central das versões anteriormente lançadas 2.67 e 2.68:
Ao comparar as diferenças (diff) entre as duas versões do código, foi descoberto o seguinte código malicioso adicionado pelo hacker:
O código malicioso itera por todas as carteiras no plugin e envia uma solicitação “obter frase mnemônica” para a carteira de cada usuário para obter a frase mnemônica criptografada do usuário. Por fim, ele descriptografa a frase mnemônica usando a senha ou passkeyPassword inserida pelo usuário ao desbloquear a carteira. Se a descriptografia for bem-sucedida, a frase mnemônica do usuário é enviada para o domínio do atacante `api.metrics-trustwallet[.]com`.
Também analisamos as informações do domínio do atacante. O atacante usou o domínio: metrics-trustwallet.com.
De acordo com a consulta, o nome de domínio malicioso foi registrado em 08-12-2025 às 02:28:18, e o provedor de serviços de nome de domínio é a NICENIC INTERNATIONA.
A primeira requisição para api.metrics-trustwallet[.]com foi registrada em 21 de dezembro de 2025.
Este momento coincide quase exatamente com o tempo em que o backdoor foi implantado no código em 22.12.
Continuamos a reproduzir todo o processo de ataque através do rastreamento e análise do código:
A análise dinâmica revela que, após desbloquear a carteira, pode-se observar os atacantes preenchendo o campo de erro com informações da frase mnemônica em R1.
A origem desses dados de erro é obtida através da chamada da função GET_SEED_PHRASE. Atualmente, a Trust Wallet suporta dois métodos de desbloqueio: senha e passkeyPassword. Ao desbloquear, o atacante obtém a senha ou passkeyPassword, então chama GET_SEED_PHRASE para obter a frase mnemônica da carteira (a chave privada é similar) e, em seguida, coloca a frase mnemônica no “errorMessage”.
A seguir está o código que usa emit para chamar GetSeedPhrase para recuperar os dados da frase mnemônica e preenchê-los no erro.
A análise de tráfego usando BurpSuite mostrou que, após obter a frase mnemônica, ela foi encapsulada no campo errorMessage do corpo da requisição e enviada para o servidor malicioso (https://api.metrics-trustwallet.com), o que é consistente com a análise anterior.
O processo acima completa o ataque de roubo de frase mnemônica/chave privada. Além disso, os atacantes provavelmente estão familiarizados com o código-fonte estendido, utilizando a plataforma de análise de produto de ponta a ponta de código aberto PostHogJS para coletar informações da carteira do usuário.
Análise dos ativos roubados
(https://t.me/investigations/296)
De acordo com os endereços do hacker divulgados por ZachXBT, nossas estatísticas mostram que, até o momento da redação, aproximadamente 33 BTC (valendo cerca de 3 milhões de USD) em ativos foram roubados da blockchain Bitcoin, aproximadamente 431 USD da blockchain Solana e aproximadamente 3 milhões de USD de várias blockchains, incluindo a mainnet Ethereum e a Layer 2. Após o roubo, os hackers transferiram e trocaram alguns dos ativos usando várias exchanges centralizadas e pontes cross-chain.
Resumo
Este incidente de backdoor originou-se de uma modificação maliciosa do código-fonte interno da Trust Wallet (lógica de serviço de análise), em vez da introdução de um pacote de terceiros genérico adulterado (como um pacote npm malicioso). Os atacantes modificaram diretamente o código próprio do aplicativo, usando a biblioteca legítima PostHog para redirecionar os dados de análise para um servidor malicioso. Portanto, temos motivos para acreditar que se trata de um ataque APT profissional, e os atacantes podem ter obtido controle dos dispositivos ou permissões de implantação dos desenvolvedores da Trust Wallet antes de 8 de dezembro.
Sugestões:
1. Se você instalou a carteira de extensão Trust Wallet, deve desconectar-se da internet imediatamente como pré-requisito para solucionar problemas e tomar qualquer ação.
2. Exporte imediatamente sua chave privada/frase mnemônica e desinstale a carteira de extensão Trust Wallet.
3. Após fazer backup de sua chave privada/frase mnemônica, transfira seus fundos para outra carteira o mais rápido possível.
