Arka Plan
Bugün sabahın erken saatlerinde Pekin saatiyle, @zachxbt kanalında bir mesaj paylaşarak “bazı Trust Wallet kullanıcılarının son birkaç saat içinde cüzdan adreslerinden fonlarının çalındığını bildirdiğini” belirtti. Ardından, Trust Wallet’ın resmi hesabı da resmi bir açıklama yayınlayarak Trust Wallet tarayıcı uzantısı sürüm 2.68’in bir güvenlik riski taşıdığını doğruladı ve sürüm 2.68 kullanan tüm kullanıcılara hemen devre dışı bırakıp sürüm 2.69’a yükseltmelerini tavsiye etti.
Taktikler ve Teknikler
İstihbaratı alan SlowMist güvenlik ekibi, ilgili örnekleri analiz etmeye hemen başladı. Öncelikle daha önce yayınlanan 2.67 ve 2.68 sürümlerinin çekirdek kodunun bir karşılaştırmasına bakalım:
İki sürümün kodunun farkını alarak, hacker tarafından eklenen aşağıdaki kötü amaçlı kod keşfedildi:
Kötü amaçlı kod, eklentideki tüm cüzdanları dolaşır ve her kullanıcı cüzdanına “anahtar kelime öbeği al” isteği göndererek kullanıcının şifrelenmiş anahtar kelime öbeğini elde eder. Son olarak, kullanıcının cüzdanın kilidini açarken girdiği parola veya passkeyPassword kullanılarak anahtar kelime öbeği şifresi çözülür. Şifre çözme başarılı olursa, kullanıcının anahtar kelime öbeği saldırganın `api.metrics-trustwallet[.]com` alan adına gönderilir.
Saldırganın alan adı bilgilerini de analiz ettik. Saldırgan şu alan adını kullandı: metrics-trustwallet.com.
Sorgulamaya göre, kötü amaçlı alan adı 2025-12-08 tarihinde 02:28:18’de kaydedilmiş ve alan adı hizmet sağlayıcısı NICENIC INTERNATIONA’dır.
api.metrics-trustwallet[.]com adresine yapılan ilk istek 21 Aralık 2025’te kaydedildi.
Bu zamanlama, kod 12.22’ye arka kapının yerleştirildiği zamanla neredeyse tamamen örtüşüyor.
Kod izleme ve analizi yoluyla tüm saldırı sürecini yeniden oluşturmaya devam ettik:
Dinamik analiz, cüzdanın kilidi açıldıktan sonra, saldırganların R1’deki hata alanını anahtar kelime öbeği bilgisiyle doldurduğunu gösterir.
Bu hata verisinin kaynağı, GET_SEED_PHRASE fonksiyon çağrısı aracılığıyla elde edilir. Şu anda Trust Wallet iki kilid açma yöntemini desteklemektedir: parola ve passkeyPassword. Kilid açılırken, saldırgan parolayı veya passkeyPassword’ü elde eder, ardından cüzdanın anahtar kelime öbeğini (özel anahtar benzer şekildedir) almak için GET_SEED_PHRASE’ı çağırır ve sonra anahtar kelime öbeğini “errorMessage” içine yerleştirir.
Aşağıda, anahtar kelime öbeği verilerini almak ve hataya doldurmak için GetSeedPhrase’ı çağırmak üzere emit kullanan kod bulunmaktadır.
BurpSuite kullanılarak yapılan trafik analizi, anahtar kelime öbeği elde edildikten sonra, istek gövdesinin errorMessage alanına kapsüllenerek kötü amaçlı sunucuya (https://api.metrics-trustwallet.com) gönderildiğini gösterdi, bu da önceki analizle tutarlıdır.
Yukarıdaki süreç, anahtar kelime öbeği/özel anahtar hırsızlık saldırısını tamamlar. Ayrıca, saldırganlar muhtemelen genişletilmiş kaynak koda aşinadır ve kullanıcı cüzdan bilgilerini toplamak için açık kaynaklı uçtan uca ürün analitik platformu PostHogJS’yi kullanmaktadır.
Çalınan Varlıkların Analizi
(https://t.me/investigations/296)
ZachXBT tarafından açıklanan hacker adreslerine göre, istatistiklerimiz yazı yazıldığı sırada, Bitcoin blok zincirinden yaklaşık 33 BTC (yaklaşık 3 milyon USD değerinde) varlık, Solana blok zincirinden yaklaşık 431 USD ve Ethereum ana ağı ve Layer 2 dahil çeşitli blok zincirlerinden yaklaşık 3 milyon USD değerinde varlık çalındığını göstermektedir. Hırsızlıktan sonra, hackerlar varlıkların bir kısmını çeşitli merkezi borsalar ve çapraz zincir köprüleri kullanarak transfer etti ve takas etti.
Özet
Bu arka kapı olayı, Trust Wallet’ın dahili kod tabanının (analiz servisi mantığı) kötü amaçlı kaynak kodu değişikliğinden kaynaklandı, değiştirilmiş genel bir üçüncü taraf paketinin (kötü amaçlı bir npm paketi gibi) eklenmesinden değil. Saldırganlar, analitik verileri kötü amaçlı bir sunucuya yönlendirmek için meşru PostHog kütüphanesini kullanarak uygulamanın kendi kodunu doğrudan değiştirdi. Bu nedenle, bunun profesyonel bir APT saldırısı olduğuna inanmak için nedenimiz var ve saldırganlar 8 Aralık’tan önce Trust Wallet geliştiricilerinin cihazlarına veya dağıtım izinlerine erişim kazanmış olabilir.
Öneriler:
1. Trust Wallet uzantı cüzdanını yüklediyseniz, sorun giderme ve herhangi bir işlem yapma ön koşulu olarak internet bağlantısını hemen kesmelisiniz.
2. Özel anahtarınızı/anahtar kelime öbeğinizi hemen dışa aktarın ve Trust Wallet uzantı cüzdanını kaldırın.
3. Özel anahtarınızı/anahtar kelime öbeğinizi yedekledikten sonra, fonlarınızı mümkün olan en kısa sürede başka bir cüzdana transfer edin.
