原文標題:”聖誕劫案 | Trust Wallet 擴充功能遭駭分析”
原文來源:慢霧科技
事件背景
北京時間今日凌晨,@zachxbt 在頻道中發文稱:「部分 Trust Wallet 用戶報告稱,其錢包地址內的資金在過去幾小時內被盜。」隨後,Trust Wallet 官方 X 帳號也發布了官方公告,確認 Trust Wallet 瀏覽器擴充功能 2.68 版本存在安全風險,建議所有使用 2.68 版本的用戶立即停用該版本並升級至 2.69 版本。
技術手法
慢霧安全團隊在收到情報後,第一時間對相關樣本進行了分析。首先,我們對比一下之前發布的 2.67 版本和 2.68 版本的核心程式碼:
通過對比兩個版本的程式碼,發現駭客新增的惡意程式碼如下:
該惡意程式碼會遍歷擴充功能中的所有錢包,對每個用戶錢包發送「取得助記詞」請求以獲取加密後的助記詞,最後利用用戶解鎖錢包時輸入的密碼或 passkeyPassword 進行解密。若解密成功,則將用戶的助記詞發送至攻擊者的域名 `api.metrics-trustwallet[.]com`。
我們也分析了攻擊者的域名資訊;攻擊者使用的域名為:metrics-trustwallet.com。
經查詢,該惡意域名註冊於 2025-12-08 02:28:18,域名註冊商為:NICENIC INTERNATIONAL。
在 2025-12-21,開始出現針對 api.metrics-trustwallet[.]com 的首批請求記錄:
此時間線與程式碼中後門植入日期 12.22 非常接近。
我們繼續追蹤並分析程式碼,以重構整個攻擊流程:
透過動態分析可以觀察到,在解鎖錢包後,攻擊者會將助記詞資訊填入 R1 的 error 中。
此 Error 資料的來源是透過 GET_SEED_PHRASE 函數呼叫取得。目前 Trust Wallet 支援密碼和 passkeyPassword 兩種解鎖方式。攻擊者在解鎖過程中取得密碼或 passkeyPassword,隨後呼叫 GET_SEED_PHRASE 取得錢包的助記詞(私鑰同理),並將助記詞置入 ‘errorMessage’ 中。
以下是使用 emit 呼叫 GetSeedPhrase,取得助記詞資料並填入 error 的程式碼。
透過 BurpSuite 進行流量分析顯示,取得助記詞後,會將其封裝在請求體的 errorMessage 欄位中,發送至惡意伺服器 (https[://]api[.]metrics-trustwallet[.]com),與前述分析一致。
透過以上流程,完成了助記詞/私鑰的竊取。此外,攻擊者似乎對擴充功能的原始碼相當熟悉,利用了開源的全鏈路產品分析平台 PostHogJS 來收集用戶錢包資訊。
資產損失分析
(https://t.me/investigations/296)
根據 ZachXBT 披露的駭客地址,我們的統計顯示,截至撰稿時,比特幣鏈上被盜資產總額約為 33 BTC(價值約 300 萬美元),Solana 鏈上被盜資產價值約 431 美元,以太坊主網及各 Layer 2 鏈上被盜資產價值約 300 萬美元。駭客在盜取資金後,利用多家中心化交易所和跨鏈橋進行了轉移和兌換。
總結
本次後門事件源於對 Trust Wallet 擴充功能內部程式碼庫(分析服務邏輯) 的惡意原始碼修改,而非引入了被竄改的通用第三方套件(例如惡意 npm 套件)。攻擊者直接竄改了應用程式自身的程式碼,並利用合法的 PostHog 函式庫將分析數據重導向惡意伺服器。因此,我們有理由相信這是一次專業的 APT 攻擊,且攻擊者很可能在 12 月 8 日之前就已取得了 Trust Wallet 相關開發者設備權限或部署發布權限。
建議:
1. 若您已安裝 Trust Wallet 擴充功能,應 立即 斷開網路連線,作為後續調查與操作的前提。
2. 立即導出私鑰/助記詞並解除安裝 Trust Wallet 擴充功能。
3. 備份私鑰/助記詞後,盡快將資金轉移至其他錢包。
