Оригинальное название: «Рождественское ограбление | Анализ взлома расширения Trust Wallet»
Источник: SlowMist Technology
Предыстория
Сегодня рано утром по пекинскому времени @zachxbt опубликовал в канале сообщение: «Некоторые пользователи Trust Wallet сообщили, что средства на их адресах кошельков были украдены за последние несколько часов». Впоследствии официальный аккаунт Trust Wallet в X также выпустил официальное объявление, подтверждающее, что версия 2.68 расширения для браузера Trust Wallet представляет угрозу безопасности, и призвал всех пользователей версии 2.68 немедленно отключить эту версию и обновиться до версии 2.69.
Технические методы
Получив информацию, команда безопасности SlowMist оперативно проанализировала соответствующие образцы. Сначала сравним основное кодовое ядро ранее выпущенных версий 2.67 и 2.68:
Сравнив код двух версий, мы обнаружили вредоносный код, добавленный хакером:
Вредоносный код перебирает все кошельки в расширении, отправляет для каждого пользовательского кошелька запрос на «получение сид-фразы», чтобы получить зашифрованную сид-фразу, и в конце расшифровывает её с помощью пароля или passkeyPassword, введённого пользователем при разблокировке кошелька. Если расшифровка проходит успешно, сид-фраза пользователя отправляется на домен злоумышленника `api.metrics-trustwallet[.]com`.
Мы также проанализировали информацию о домене злоумышленника; злоумышленник использовал домен: metrics-trustwallet.com.
Согласно запросу, вредоносный домен был зарегистрирован 2025-12-08 02:28:18, регистратор домена: NICENIC INTERNATIONA.
21 декабря 2025 года начали появляться первые записи запросов, направленных на api.metrics-trustwallet[.]com:
Эта временная шкала тесно совпадает с датой внедрения бэкдора 22.12 в коде.
Мы продолжили отслеживать и анализировать код, чтобы восстановить весь процесс атаки:
Динамический анализ показывает, что после разблокировки кошелька информацию о сид-фразе злоумышленника можно увидеть заполненной в ошибке внутри R1.
Источник этих данных Error получается через вызов функции GET_SEED_PHRASE. В настоящее время Trust Wallet поддерживает два метода разблокировки: пароль и passkeyPassword. Злоумышленник получает пароль или passkeyPassword во время разблокировки, затем вызывает GET_SEED_PHRASE для получения сид-фразы кошелька (с приватными ключами обрабатывается аналогично) и помещает сид-фразу в ‘errorMessage’.
Ниже приведён код, который использует emit для вызова GetSeedPhrase, получает данные сид-фразы и заполняет ими ошибку.
Анализ трафика, проведённый с помощью BurpSuite, показывает, что после получения сид-фразы она инкапсулируется в поле errorMessage тела запроса и отправляется на вредоносный сервер (https[://]api[.]metrics-trustwallet[.]com), что согласуется с более ранним анализом.
Через описанный выше процесс завершается кража сид-фраз/приватных ключей. Кроме того, злоумышленник, вероятно, знаком с исходным кодом расширения, используя открытую аналитическую платформу PostHogJS для сбора информации о пользовательских кошельках по всей цепочке.
Анализ украденных активов
(https://t.me/investigations/296)
На основе адресов хакера, раскрытых ZachXBT, по нашим подсчётам, на момент написания общий объём украденных активов в сети Bitcoin составляет примерно 33 BTC (стоимостью около 3 миллионов долларов США), украденные активы в сети Solana оцениваются примерно в 431 доллар США, а украденные активы в основной сети Ethereum и различных сетях второго уровня (Layer 2) стоят приблизительно 3 миллиона долларов США. После кражи активов хакер перевёл и обменял часть из них с использованием различных централизованных бирж и кросс-чейн мостов.
Итог
Данный инцидент с бэкдором возник из-за вредоносных изменений исходного кода внутренней кодовой базы расширения Trust Wallet (логика аналитического сервиса), а не из-за внедрения поддельных общих сторонних пакетов (таких как вредоносные npm-пакеты). Злоумышленник напрямую подделал собственный код приложения, используя легитимную библиотеку PostHog для перенаправления аналитических данных на вредоносный сервер. Поэтому у нас есть основания полагать, что это сложная APT-атака, и злоумышленник, возможно, получил контроль над правами доступа к устройствам разработчиков Trust Wallet или правами на развёртывание выпусков до 8 декабря.
Рекомендации:
1. Если вы установили расширение кошелька Trust Wallet, вам следует немедленно отключиться от интернета как предварительное условие для расследования и операций.
2. Немедленно экспортируйте свои приватные ключи/сид-фразу и удалите расширение кошелька Trust Wallet.
3. После резервного копирования приватных ключей/сид-фразы как можно скорее переведите свои средства на другой кошелёк.
