Оригинальное название: «Рождественское ограбление | Анализ взлома расширения Trust Wallet»
Оригинальный источник: SlowMist Technology
Предыстория
Сегодня рано утром по пекинскому времени @zachxbt опубликовал в канале сообщение: «Некоторые пользователи Trust Wallet сообщают, что средства на их адресах кошельков были украдены за последние несколько часов». Впоследствии официальный аккаунт Trust Wallet в X также выпустил официальное объявление, подтверждающее, что версия 2.68 расширения для браузера Trust Wallet представляет угрозу безопасности, и рекомендовал всем пользователям на версии 2.68 немедленно отключить эту версию и обновиться до версии 2.69.
Методы и тактика
Получив информацию, команда безопасности SlowMist оперативно проанализировала соответствующие образцы. Сначала сравним основной код ранее выпущенных версий 2.67 и 2.68:
Сравнив код двух версий, мы обнаружили добавленный хакером вредоносный код:
Вредоносный код перебирает все кошельки в расширении, отправляет для каждого пользовательского кошелька запрос на «получение сид-фразы», чтобы получить зашифрованную сид-фразу, и в конечном итоге расшифровывает её с помощью пароля или passkeyPassword, введённого пользователем при разблокировке кошелька. Если расшифровка проходит успешно, сид-фраза пользователя отправляется на домен злоумышленника `api.metrics-trustwallet[.]com`.
Мы также проанализировали информацию о домене злоумышленника; атакующий использовал домен: metrics-trustwallet.com.
Согласно запросу, вредоносный домен был зарегистрирован 2025-12-08 02:28:18, регистратор домена: NICENIC INTERNATIONAL.
21 декабря 2025 года начали появляться первые записи запросов, направленных на api.metrics-trustwallet[.]com:
Эта временная шкала тесно коррелирует с датой внедрения бэкдора 22.12 в коде.
Мы продолжили отслеживать и анализировать код, чтобы восстановить весь процесс атаки:
При динамическом анализе можно наблюдать, что после разблокировки кошелька злоумышленник помещает информацию о сид-фразе в ошибку в R1.
Источник этих данных Error получается через вызов функции GET_SEED_PHRASE. В настоящее время Trust Wallet поддерживает два метода разблокировки: пароль и passkeyPassword. Злоумышленник получает пароль или passkeyPassword во время разблокировки, затем вызывает GET_SEED_PHRASE для получения сид-фразы кошелька (приватные ключи аналогичны) и помещает сид-фразу в ‘errorMessage’.
Ниже приведён код, который использует emit для вызова GetSeedPhrase, получения данных сид-фразы и помещения их в ошибку.
Анализ трафика с помощью BurpSuite показывает, что после получения сид-фразы она инкапсулируется в поле errorMessage тела запроса и отправляется на вредоносный сервер (https[://]api[.]metrics-trustwallet[.]com), что согласуется с предыдущим анализом.
Через описанный выше процесс завершается кража сид-фраз/приватных ключей. Кроме того, злоумышленник, по-видимому, хорошо знаком с исходным кодом расширения, используя открытую аналитическую платформу полного цикла PostHogJS для сбора информации о пользовательских кошельках.
Анализ украденных активов
(https://t.me/investigations/296)
Согласно адресам хакера, раскрытым ZachXBT, по нашим подсчётам, на момент написания общий объём украденных активов в сети Bitcoin составляет приблизительно 33 BTC (стоимостью около 3 миллионов долларов США), украденные активы в сети Solana оцениваются примерно в 431 доллар США, а украденные активы в основной сети Ethereum и различных сетях второго уровня оцениваются примерно в 3 миллиона долларов США. После кражи средств хакер перевёл и обменял часть активов, используя различные централизованные биржи и кросс-чейн мосты.
Итог
Данный инцидент с бэкдором возник в результате вредоносных изменений исходного кода внутренней кодовой базы расширения Trust Wallet (логика аналитического сервиса), а не из-за внедрения подделанных сторонних пакетов общего назначения (таких как вредоносные npm-пакеты). Злоумышленник напрямую подделал собственный код приложения, используя легитимную библиотеку PostHog для перенаправления аналитических данных на вредоносный сервер. Поэтому у нас есть основания полагать, что это была профессиональная APT-атака, и злоумышленник, вероятно, получил контроль над правами доступа к устройствам разработчиков, связанным с Trust Wallet, или правами на развёртывание и выпуск до 8 декабря.
Рекомендации:
1. Если вы установили расширение Trust Wallet, вам следует немедленно отключиться от интернета как предварительное условие для расследования и действий.
2. Немедленно экспортируйте приватные ключи/сид-фразы и удалите расширение Trust Wallet.
3. После резервного копирования приватных ключей/сид-фраз оперативно переведите средства на другие кошельки.
