Orijinal Başlık: “Noel Soygunu | Trust Wallet Eklentisi Hack Analizi”
Orijinal Kaynak: SlowMist Technology
Arka Plan
Bugün erken saatlerde Pekin saatiyle, @zachxbt bir kanalda, ‘Bazı Trust Wallet kullanıcıları cüzdan adreslerindeki fonların son birkaç saat içinde çalındığını bildirdi.’ şeklinde bir paylaşım yaptı. Ardından, Trust Wallet’ın resmi X hesabı da, Trust Wallet tarayıcı eklentisinin 2.68 sürümünün bir güvenlik riski taşıdığını doğrulayan resmi bir duyuru yayınlayarak, 2.68 sürümündeki tüm kullanıcıların bu sürümü derhal devre dışı bırakıp 2.69 sürümüne yükseltmelerini tavsiye etti.
Teknikler ve Taktikler
İstihbaratı alır almaz, SlowMist güvenlik ekibi ilgili örnekleri derhal analiz etti. İlk olarak, daha önce yayınlanan 2.67 ve 2.68 sürümlerinin çekirdek kodlarını karşılaştıralım:
İki sürümün kodlarını karşılaştırarak, hacker tarafından eklenen kötü amaçlı kod şu şekilde keşfedildi:
Kötü amaçlı kod, eklentideki tüm cüzdanları dolaşır, her kullanıcı cüzdanı için ‘tohum ifadesini al’ isteği göndererek şifrelenmiş tohum ifadesini elde eder ve son olarak kullanıcının cüzdanı açarken girdiği şifre veya passkeyPassword kullanarak şifresini çözer. Şifre çözme başarılı olursa, kullanıcının tohum ifadesi saldırganın alan adı `api.metrics-trustwallet[.]com`’a gönderilir.
Saldırganın alan adı bilgilerini de analiz ettik; saldırgan şu alan adını kullandı: metrics-trustwallet.com.
Sorgulama yapıldığında, kötü amaçlı alan adının 2025-12-08 02:28:18 tarihinde kaydedildiği ve alan adı kayıt şirketinin NICENIC INTERNATIONAL olduğu görüldü.
2025-12-21 tarihinde, api.metrics-trustwallet[.]com hedefli ilk istek kayıtları başladı:
Bu zaman çizelgesi, koddaki 12.22 tarihli arka kapı yerleştirme tarihiyle yakından uyumludur.
Tüm saldırı sürecini yeniden oluşturmak için kodu izlemeye ve analiz etmeye devam ettik:
Dinamik analiz yoluyla, cüzdan açıldıktan sonra saldırganın tohum ifadesi bilgisini R1’deki hataya doldurduğu gözlemlenebilir.
Bu Hata verisinin kaynağı, GET_SEED_PHRASE fonksiyon çağrısı yoluyla elde edilir. Şu anda Trust Wallet iki açma yöntemini desteklemektedir: şifre ve passkeyPassword. Saldırgan, açma sırasında şifreyi veya passkeyPassword’ü elde eder, ardından cüzdanın tohum ifadesini (özel anahtarlar benzer) almak için GET_SEED_PHRASE’ı çağırır ve tohum ifadesini ‘errorMessage’ alanına yerleştirir.
Aşağıda, GetSeedPhrase’ı çağırmak, tohum ifadesi verilerini almak ve hataya doldurmak için emit kullanan kod bulunmaktadır.
BurpSuite ile trafik analizi, tohum ifadesi alındıktan sonra, istek gövdesinin errorMessage alanında paketlenerek kötü amaçlı sunucuya (https[://]api[.]metrics-trustwallet[.]com) gönderildiğini göstermektedir; bu da daha önceki analizle tutarlıdır.
Yukarıdaki süreç aracılığıyla, tohum ifadelerinin/özel anahtarların çalınması tamamlanır. Ayrıca, saldırgan eklentinin kaynak koduna aşina görünmekte ve açık kaynaklı tam bağlantılı ürün analiz platformu PostHogJS’yi kullanarak kullanıcı cüzdan bilgilerini toplamaktadır.
Çalınan Varlıklar Analizi
(https://t.me/investigations/296)
ZachXBT tarafından açıklanan hacker adreslerine dayanarak, istatistiklerimiz yazı yazıldığı sırada Bitcoin zincirindeki toplam çalınan varlıkların yaklaşık 33 BTC (yaklaşık 3 milyon USD değerinde), Solana zincirindeki çalınan varlıkların yaklaşık 431 USD değerinde ve Ethereum ana ağı ile çeşitli Layer 2 zincirlerindeki çalınan varlıkların yaklaşık 3 milyon USD değerinde olduğunu göstermektedir. Fonları çaldıktan sonra, hacker çeşitli merkezi borsalar ve çapraz zincir köprüleri kullanarak bazı varlıkları transfer etti ve takas etti.
Özet
Bu arka kapı olayı, Trust Wallet eklentisinin dahili kod tabanına (analitik servis mantığı) yapılan kötü amaçlı kaynak kodu değişikliklerinden kaynaklanmıştır, değiştirilmiş genel üçüncü taraf paketlerin (kötü amaçlı npm paketleri gibi) eklenmesinden değil. Saldırgan, uygulamanın kendi kodunu doğrudan değiştirerek, meşru PostHog kütüphanesini kullanarak analitik verileri kötü amaçlı bir sunucuya yönlendirdi. Bu nedenle, bunun profesyonel bir APT saldırısı olduğuna ve saldırganın muhtemelen 8 Aralık’tan önce Trust Wallet ile ilgili geliştirici cihaz izinlerini veya dağıtım yayınlama izinlerini ele geçirdiğine inanmak için nedenimiz var.
Öneriler:
1. Trust Wallet eklentisini yüklediyseniz, araştırma ve işlemler için ön koşul olarak internet bağlantısını derhal kesmelisiniz.
2. Özel anahtarları/tohum ifadelerini derhal dışa aktarın ve Trust Wallet eklentisini kaldırın.
3. Özel anahtarları/tohum ifadelerini yedekledikten sonra, fonları derhal diğer cüzdanlara transfer edin.
