Título Original: “Christmas Heist | Análise do Hack da Extensão Trust Wallet”
Fonte: SlowMist Technology
Contexto
Hoje de madrugada, horário de Pequim, @zachxbt publicou uma mensagem no canal afirmando: ‘Alguns usuários do Trust Wallet relataram que os fundos em seus endereços de carteira foram roubados nas últimas horas.’ Posteriormente, a conta oficial X do Trust Wallet também divulgou um anúncio oficial confirmando que a versão 2.68 da extensão de navegador Trust Wallet apresenta um risco de segurança, instando todos os usuários da versão 2.68 a desativarem imediatamente essa versão e atualizarem para a versão 2.69.
Táticas Técnicas
Ao receber a inteligência, a equipe de segurança da SlowMist analisou prontamente as amostras relevantes. Vamos primeiro comparar o código central das versões 2.67 e 2.68 lançadas anteriormente:
Comparando o código das duas versões, o código malicioso adicionado pelo hacker foi identificado da seguinte forma:
O código malicioso itera por todas as carteiras na extensão, envia uma solicitação de ‘recuperação de frase secreta’ para cada carteira de usuário para obter a frase secreta criptografada e, finalmente, a descriptografa usando a senha ou passkeyPassword inserida pelo usuário ao desbloquear a carteira. Se a descriptografia for bem-sucedida, a frase secreta do usuário é enviada para o domínio do atacante `api.metrics-trustwallet[.]com`.
Também analisamos as informações do domínio do atacante; o atacante usou o domínio: metrics-trustwallet.com.
Ao consultar, o domínio malicioso foi registrado em 2025-12-08 02:28:18, com o registrador de domínio: NICENIC INTERNATIONA.
Em 2025-12-21, os primeiros registros de solicitação direcionados a api.metrics-trustwallet[.]com começaram a aparecer:
Essa linha do tempo está alinhada com a data de implantação do backdoor de 22.12 no código.
Continuamos a rastrear e analisar o código para reconstruir todo o processo de ataque:
A análise dinâmica mostra que, após desbloquear a carteira, as informações da frase secreta do atacante podem ser vistas preenchidas no erro dentro de R1.
A origem desses dados de Erro é obtida por meio de uma chamada à função GET_SEED_PHRASE. Atualmente, o Trust Wallet suporta dois métodos de desbloqueio: senha e passkeyPassword. O atacante obtém a senha ou passkeyPassword durante o desbloqueio, depois chama GET_SEED_PHRASE para recuperar a frase secreta da carteira (as chaves privadas são tratadas de forma semelhante) e coloca a frase secreta na ‘errorMessage’.
Abaixo está o código que usa emit para chamar GetSeedPhrase, recupera os dados da frase secreta e os preenche no erro.
A análise de tráfego realizada com BurpSuite mostra que, após obter a frase secreta, ela é encapsulada no campo errorMessage do corpo da solicitação e enviada para o servidor malicioso (https[://]api[.]metrics-trustwallet[.]com), o que é consistente com a análise anterior.
Através do processo acima, o roubo de frases secretas/chaves privadas é concluído. Além disso, o atacante provavelmente está familiarizado com o código-fonte da extensão, aproveitando a plataforma de análise de produto de cadeia completa de código aberto PostHogJS para coletar informações da carteira do usuário.
Análise dos Ativos Roubados
(https://t.me/investigations/296)
Com base nos endereços do hacker divulgados por ZachXBT, nossas estatísticas mostram que, até o momento da redação, o total de ativos roubados na cadeia Bitcoin é de aproximadamente 33 BTC (valendo cerca de 3 milhões de USD), os ativos roubados na cadeia Solana estão avaliados em cerca de 431 USD, e os ativos roubados na rede principal Ethereum e em várias cadeias Layer 2 valem aproximadamente 3 milhões de USD. Após roubar os ativos, o hacker transferiu e trocou alguns deles usando várias exchanges centralizadas e pontes cross-chain.
Resumo
Este incidente de backdoor originou-se de modificações maliciosas no código-fonte interno da extensão Trust Wallet (lógica do serviço de análise), e não da introdução de pacotes de terceiros adulterados em geral (como pacotes npm maliciosos). O atacante adulterou diretamente o código próprio do aplicativo, aproveitando a biblioteca legítima PostHog para redirecionar os dados de análise para um servidor malicioso. Portanto, temos motivos para acreditar que este é um sofisticado ataque APT, e o atacante pode ter obtido controle sobre as permissões do dispositivo do desenvolvedor relacionado ao Trust Wallet ou permissões de implantação de lançamento antes de 8 de dezembro.
Recomendações:
1. Se você instalou a carteira de extensão Trust Wallet, deve imediatamente desconectar-se da internet como pré-requisito para investigação e operações.
2. Exporte imediatamente suas chaves privadas/frase secreta e desinstale a carteira de extensão Trust Wallet.
3. Após fazer backup de suas chaves privadas/frase secreta, transfira prontamente seus fundos para outra carteira o mais rápido possível.
