Título Original: “Assalto de Natal | Análise do Hack da Extensão Trust Wallet”
Fonte Original: SlowMist Technology
Contexto
Hoje de madrugada, horário de Pequim, @zachxbt postou em um canal afirmando: ‘Alguns usuários do Trust Wallet relataram que os fundos em seus endereços de carteira foram roubados nas últimas horas.’ Posteriormente, a conta oficial X da Trust Wallet também divulgou um anúncio oficial confirmando que a versão 2.68 da extensão de navegador Trust Wallet apresenta um risco de segurança, aconselhando todos os usuários na versão 2.68 a desativar imediatamente essa versão e atualizar para a versão 2.69.
Técnicas e Táticas
Ao receber a inteligência, a equipe de segurança da SlowMist analisou prontamente amostras relevantes. Primeiro, vamos comparar o código central das versões 2.67 e 2.68 lançadas anteriormente:
Ao fazer um diff do código das duas versões, o código malicioso adicionado pelo hacker foi descoberto da seguinte forma:
O código malicioso itera por todas as carteiras na extensão, envia uma solicitação de ‘recuperar frase-semente’ para cada carteira do usuário para obter a frase-semente criptografada e, finalmente, a descriptografa usando a senha ou passkeyPassword inserida pelo usuário ao desbloquear a carteira. Se a descriptografia for bem-sucedida, a frase-semente do usuário é enviada para o domínio do atacante `api.metrics-trustwallet[.]com`.
Também analisamos as informações do domínio do atacante; o atacante usou o domínio: metrics-trustwallet.com.
Ao consultar, o domínio malicioso foi registrado em 2025-12-08 02:28:18, com o registrador de domínio: NICENIC INTERNATIONAL.
Em 2025-12-21, os primeiros registros de solicitação direcionados a api.metrics-trustwallet[.]com começaram:
Esta linha do tempo está alinhada de perto com a data de implantação do backdoor de 22/12 no código.
Continuamos a rastrear e analisar o código para reconstruir todo o processo de ataque:
Através da análise dinâmica, pode-se observar que, após desbloquear a carteira, o atacante preenche as informações da frase-semente no erro em R1.
A origem desses dados de Erro é obtida através da chamada da função GET_SEED_PHRASE. Atualmente, o Trust Wallet suporta dois métodos de desbloqueio: senha e passkeyPassword. O atacante obtém a senha ou passkeyPassword durante o desbloqueio, então chama GET_SEED_PHRASE para recuperar a frase-semente da carteira (as chaves privadas são semelhantes) e coloca a frase-semente no ‘errorMessage’.
Abaixo está o código que usa emit para chamar GetSeedPhrase, recuperar os dados da frase-semente e preenchê-los no erro.
A análise de tráfego via BurpSuite mostra que, após obter a frase-semente, ela é encapsulada no campo errorMessage do corpo da solicitação e enviada para o servidor malicioso (https[://]api[.]metrics-trustwallet[.]com), consistente com a análise anterior.
Através do processo acima, o roubo das frases-semente/chaves privadas é concluído. Além disso, o atacante parece familiarizado com o código-fonte da extensão, aproveitando a plataforma de análise de produto de link completo de código aberto PostHogJS para coletar informações da carteira do usuário.
Análise de Ativos Roubados
(https://t.me/investigations/296)
Com base nos endereços do hacker divulgados por ZachXBT, nossas estatísticas mostram que, até o momento da redação, o total de ativos roubados na cadeia Bitcoin equivale a aproximadamente 33 BTC (valendo cerca de 3 milhões de USD), os ativos roubados na cadeia Solana estão avaliados em cerca de 431 USD, e os ativos roubados na mainnet Ethereum e em várias cadeias de Camada 2 estão avaliados em aproximadamente 3 milhões de USD. Após roubar os fundos, o hacker transferiu e trocou alguns ativos usando várias exchanges centralizadas e pontes cross-chain.
Resumo
Este incidente de backdoor originou-se de modificações maliciosas no código-fonte do repositório de código interno da extensão Trust Wallet (lógica do serviço de análise), e não da introdução de pacotes de terceiros genéricos adulterados (como pacotes npm maliciosos). O atacante adulterou diretamente o código próprio do aplicativo, aproveitando a biblioteca legítima PostHog para redirecionar os dados de análise para um servidor malicioso. Portanto, temos razões para acreditar que este foi um ataque APT profissional, e o atacante provavelmente obteve controle das permissões do dispositivo do desenvolvedor relacionado à Trust Wallet ou das permissões de implantação e lançamento antes de 8 de dezembro.
Recomendações:
1. Se você instalou a extensão Trust Wallet, deve imediatamente desconectar-se da internet como pré-requisito para investigação e operações.
2. Exporte imediatamente as chaves privadas/frases-semente e desinstale a extensão Trust Wallet.
3. Após fazer backup das chaves privadas/frases-semente, transfira prontamente os fundos para outras carteiras.
