原文標題:”聖誕劫案 | Trust Wallet 擴充錢包遭駭分析”
來源:慢霧科技
事件背景
北京時間今日凌晨,@zachxbt 在頻道中發布消息稱:「部分 Trust Wallet 用戶報告稱,其錢包地址中的資金在過去幾小時內被盜。」隨後,Trust Wallet 官方 X 帳號也發布了官方公告,確認 Trust Wallet 瀏覽器擴充版本 2.68 存在安全風險,呼籲所有 2.68 版本用戶立即停用該版本並升級至 2.69 版本。
技術手法
慢霧安全團隊在收到情報後,第一時間對相關樣本進行了分析。我們先來對比一下此前發布的 2.67 版本與 2.68 版本的核心程式碼:
透過對比兩個版本的程式碼,發現駭客新增的惡意程式碼如下:
該惡意程式碼會遍歷擴充中的所有錢包,對每個用戶錢包發送「取得助記詞」請求以取得加密後的助記詞,最後利用用戶解鎖錢包時輸入的密碼或 passkeyPassword 進行解密。若解密成功,則將用戶的助記詞發送至攻擊者域名 `api.metrics-trustwallet[.]com`。
我們也分析了攻擊者的域名資訊,攻擊者使用的域名為:metrics-trustwallet.com。
經查詢,該惡意域名註冊於 2025-12-08 02:28:18,域名註冊商為:NICENIC INTERNATIONA。
在 2025-12-21,開始出現針對 api.metrics-trustwallet[.]com 的首批請求記錄:
這個時間線與程式碼中 12.22 的後門植入日期基本吻合。
我們繼續追蹤分析程式碼,還原整個攻擊流程:
動態分析顯示,在解鎖錢包後,可以看到攻擊者的助記詞資訊被填入 R1 中的 error 內。
該 Error 資料的來源是透過呼叫 GET_SEED_PHRASE 函數取得。目前 Trust Wallet 支援密碼與 passkeyPassword 兩種解鎖方式,攻擊者在解鎖時取得密碼或 passkeyPassword,隨後呼叫 GET_SEED_PHRASE 取得錢包的助記詞(私鑰處理方式類似),並將助記詞放入「errorMessage」中。
以下是使用 emit 呼叫 GetSeedPhrase,取得助記詞資料並填入 error 的程式碼。
透過 BurpSuite 進行流量分析顯示,取得助記詞後,會將其封裝在請求體的 errorMessage 欄位中,發送至惡意伺服器(https[://]api[.]metrics-trustwallet[.]com),與先前分析一致。
透過以上流程,完成了助記詞/私鑰的竊取。此外,攻擊者很可能熟悉擴充的原始碼,利用了開源的全鏈路產品分析平台 PostHogJS 來收集用戶錢包資訊。
被盜資產分析
(https://t.me/investigations/296)
根據 ZachXBT 披露的駭客地址,我們的統計顯示,截至發稿時,比特幣鏈上被盜資產總額約為 33 BTC(價值約 300 萬美元),Solana 鏈上被盜資產價值約 431 美元,以太坊主網及各 Layer 2 鏈上被盜資產價值約 300 萬美元。駭客在盜取資產後,透過多個中心化交易所與跨鏈橋進行了轉移與兌換。
總結
本次後門事件源於對 Trust Wallet 擴充內部程式碼庫(分析服務邏輯)的惡意原始碼修改,而非引入被篡改的通用第三方套件(例如惡意 npm 套件)。攻擊者直接篡改了應用自身的程式碼,並利用合法的 PostHog 函式庫將分析數據導向惡意伺服器。因此,我們有理由認為這是一次高級持續性威脅攻擊,攻擊者可能在 12 月 8 日之前就已取得 Trust Wallet 相關開發者設備權限或發布部署權限。
建議:
1. 若您已安裝 Trust Wallet 擴充錢包,應 立即 斷網,作為後續調查與操作的前提。
2. 立即匯出您的私鑰/助記詞並解除安裝 Trust Wallet 擴充錢包。
3. 備份好私鑰/助記詞後,請盡快將資金轉移至其他錢包。
