Orijinal Başlık: “Noel Soygunu | Trust Wallet Eklenti Cüzdan Hack’ine İlişkin Analiz”
Kaynak: SlowMist Technology
Arka Plan
Bugün sabah erken saatlerde Pekin saatiyle, @zachxbt kanalda bir mesaj paylaşarak, ‘Bazı Trust Wallet kullanıcıları, cüzdan adreslerindeki fonların son birkaç saat içinde çalındığını bildirdi.’ dedi. Ardından, Trust Wallet’ın resmi X hesabı da resmi bir duyuru yayınlayarak Trust Wallet tarayıcı eklentisinin 2.68 sürümünün bir güvenlik riski taşıdığını doğruladı ve 2.68 sürümünü kullanan tüm kullanıcıları bu sürümü derhal devre dışı bırakıp 2.69 sürümüne yükseltmeye çağırdı.
Teknik Taktikler
İstihbaratı alır almaz, SlowMist güvenlik ekibi ilgili örnekleri derhal analiz etti. Öncelikle daha önce yayınlanan 2.67 ve 2.68 sürümlerinin çekirdek kodunu karşılaştıralım:
İki sürümün kodunu karşılaştırarak, hacker tarafından eklenen kötü amaçlı kod aşağıdaki gibi tespit edildi:
Kötü amaçlı kod, eklentideki tüm cüzdanları dolaşır, her kullanıcı cüzdanı için ‘seed ifadesini (tohum cümlesi) al’ isteği göndererek şifreli seed ifadesini elde eder ve son olarak kullanıcının cüzdanın kilidini açarken girdiği şifre veya passkeyPassword kullanarak şifresini çözer. Şifre çözme başarılı olursa, kullanıcının seed ifadesi saldırganın alan adına `api.metrics-trustwallet[.]com` gönderilir.
Saldırganın alan adı bilgilerini de analiz ettik; saldırgan şu alan adını kullanmıştı: metrics-trustwallet.com.
Sorgulandığında, kötü amaçlı alan adının 2025-12-08 02:28:18 tarihinde kaydedildiği ve alan adı kayıt şirketinin NICENIC INTERNATIONAL olduğu görüldü.
2025-12-21 tarihinde, api.metrics-trustwallet[.]com’u hedef alan ilk istek kayıtları görünmeye başladı:
Bu zaman çizelgesi, kodda yer alan 12.22 arka kapı yerleştirme tarihiyle yakından örtüşmektedir.
Tüm saldırı sürecini yeniden yapılandırmak için kodu izlemeye ve analiz etmeye devam ettik:
Dinamik analiz, cüzdanın kilidi açıldıktan sonra, saldırganın seed ifadesi bilgisinin R1 içindeki hatada doldurulmuş olarak görülebildiğini göstermektedir.
Bu Hata verisinin kaynağı, GET_SEED_PHRASE fonksiyonunun çağrılması yoluyla elde edilir. Şu anda Trust Wallet iki kilid açma yöntemini desteklemektedir: şifre ve passkeyPassword. Saldırgan, kilid açma sırasında şifreyi veya passkeyPassword’ü elde eder, ardından cüzdanın seed ifadesini (özel anahtarlar benzer şekilde işlenir) almak için GET_SEED_PHRASE’ı çağırır ve seed ifadesini ‘errorMessage’ içine yerleştirir.
Aşağıda, GetSeedPhrase’ı çağırmak için emit kullanan, seed ifadesi verilerini alan ve bunu hataya dolduran kod bulunmaktadır.
BurpSuite ile yapılan trafik analizi, seed ifadesi elde edildikten sonra, istek gövdesinin errorMessage alanında paketlenerek kötü amaçlı sunucuya (https[://]api[.]metrics-trustwallet[.]com) gönderildiğini göstermektedir; bu da daha önceki analizimizle tutarlıdır.
Yukarıdaki süreç aracılığıyla, seed ifadelerinin/özel anahtarların çalınması tamamlanır. Ayrıca, saldırganın büyük olasılıkla eklentinin kaynak koduna aşina olduğu ve kullanıcı cüzdan bilgilerini toplamak için açık kaynaklı tam bağlantılı ürün analiz platformu PostHogJS’yi kullandığı görülmektedir.
Çalınan Varlık Analizi
(https://t.me/investigations/296)
ZachXBT tarafından açıklanan hacker adreslerine dayanarak, istatistiklerimiz yazı yazıldığı sırada, Bitcoin zincirindeki toplam çalınan varlıkların yaklaşık 33 BTC (yaklaşık 3 milyon USD değerinde), Solana zincirindeki çalınan varlıkların yaklaşık 431 USD değerinde ve Ethereum ana ağı ile çeşitli Layer 2 zincirlerindeki çalınan varlıkların yaklaşık 3 milyon USD değerinde olduğunu göstermektedir. Varlıkları çaldıktan sonra, hacker bunların bir kısmını çeşitli merkezi borsalar ve çapraz zincir köprüleri kullanarak transfer etmiş ve takas etmiştir.
Özet
Bu arka kapı olayı, Trust Wallet eklentisinin dahili kod tabanına (analitik servis mantığı) yapılan kötü amaçlı kaynak kodu değişikliklerinden kaynaklanmıştır; değiştirilmiş genel üçüncü taraf paketlerin (kötü amaçlı npm paketleri gibi) eklenmesinden değil. Saldırgan, doğrudan uygulamanın kendi kodunu değiştirmiş, meşru PostHog kütüphanesini kullanarak analitik verileri kötü amaçlı bir sunucuya yönlendirmiştir. Bu nedenle, bunun sofistike bir APT saldırısı olduğuna inanmak için nedenimiz var ve saldırganın 8 Aralık’tan önce Trust Wallet ile ilgili geliştirici cihaz izinleri veya yayın dağıtım izinleri üzerinde kontrol elde etmiş olması muhtemeldir.
Öneriler:
1. Trust Wallet eklenti cüzdanını yüklediyseniz, araştırma ve işlemler için ön koşul olarak internet bağlantısını derhal kesmelisiniz.
2. Özel anahtarlarınızı/seed ifadenizi derhal dışa aktarın ve Trust Wallet eklenti cüzdanını kaldırın.
3. Özel anahtarlarınızı/seed ifadenizi yedekledikten sonra, fonlarınızı mümkün olan en kısa sürede başka bir cüzdana aktarın.
