北京时间今天凌晨,知名链上侦探 @zachxbt 在社交频道发布警告,称一些 Trust Wallet 用户报告在数小时内资金被盗。随后,Trust Wallet 官方发布消息,确认其浏览器扩展程序的 2.68 版本存在安全风险,呼吁所有用户立即禁用该版本并升级至 2.69 版本。
图1:Trust Wallet 官方发布的浏览器扩展安全事件通知
技战法分析
收到情报后,安全团队第一时间对相关样本展开分析。我们首先对比了存在问题的 2.68 版本与之前安全的 2.67 版本的核心代码。
通过代码差异对比,我们发现了攻击者植入的恶意代码片段:
这段恶意代码会遍历插件内所有的钱包,对每个钱包发起“获取助记词”的请求,获取用户加密后的助记词,然后使用用户在解锁钱包时输入的密码(password 或 passkeyPassword)进行解密。一旦解密成功,助记词就会被发送到攻击者控制的域名 api.metrics-trustwallet[.]com 上。
我们对这个恶意域名进行了分析:metrics-trustwallet.com。
该域名注册于 2025 年 12 月 8 日。记录显示,首次针对 api.metrics-trustwallet[.]com 的请求出现在 2025 年 12 月 21 日,这与后门代码在 12 月 22 日被植入的时间点基本吻合。
我们通过动态分析复现了整个攻击流程:
在用户解锁钱包后,可以从调试信息中看到,攻击者将获取到的助记词信息填充到了 error 字段里。
这些数据来源于 GET_SEED_PHRASE 函数的调用。攻击者在用户解锁时获取了密码,随后调用此函数获取钱包助记词(私钥的获取方式类似),并将助记词放入 “errorMessage” 字段中。
下图展示了通过 emit 调用 GetSeedPhrase 获取助记词并填入 error 的代码逻辑。
通过流量分析工具可以确认,获取到的助记词被封装在请求体的 errorMessage 字段中,发送至恶意服务器 https[:]//api[.]metrics-trustwallet[.]com,这与前述分析完全一致。这起事件涉及到复杂的代码篡改与数据外泄,对于从事 安全/渗透/逆向 研究的人员而言,是一次典型的供应链攻击案例。
至此,攻击者完成了助记词/私钥的窃取。此外,攻击者似乎对扩展源码非常熟悉,其利用了开源的 PostHog JS 库,将本应发送至官方分析平台的用户钱包信息,导向了其控制的恶意服务器。
被盗资产分析
根据 ZachXBT 披露的黑客地址(完整列表),我们进行了统计。
截至发文时,Bitcoin 链上被盗资产总额约为 33 BTC(价值约 300 万美元),Solana 链上被盗资产价值约 431 美元,Ethereum 主网及其 Layer 2 等链上的被盗资产价值约为 300 万美元。黑客得手后,利用各类中心化交易所和跨链桥进行资产转移与兑换。
总结
此次安全事件源于对 Trust Wallet 扩展内部代码库的恶意篡改,攻击者直接修改了应用程序自身的业务逻辑代码,而非引入被污染的第三方依赖包。攻击者巧妙地利用了项目中合法的 PostHog 库,将分析数据导向了恶意服务器。因此,我们有理由认为这是一起专业的 APT(高级持续性威胁)攻击,攻击者很可能在 12 月 8 日之前就已获得了 Trust Wallet 相关开发或发布部署环境的访问权限。
用户应对建议:
- 立即断网排查:如果安装过 Trust Wallet 扩展,应立即断开网络连接,作为后续操作的前提。
- 导出并卸载:在安全的环境下(例如未受感染的设备),立即导出私钥/助记词,然后彻底卸载 Trust Wallet 浏览器扩展。
- 转移资产:备份好私钥/助记词后,尽快使用其他可信赖的钱包软件将资产转移至新地址。
图2:区块链安全公司慢雾科技简介
| 
发表于 2025-12-30 06:33:07
|
查看: 20|
回复: 0
