Sáng sớm nay theo giờ Bắc Kinh, @zachxbt đã đăng một tin nhắn trên kênh của mình cho biết rằng "một số người dùng Trust Wallet báo cáo rằng tiền đã bị đánh cắp từ địa chỉ ví của họ trong vài giờ qua."
Tác giả: Đội ngũ Bảo mật SlowMist
bối cảnh
Sáng sớm theo giờ Bắc Kinh, @zachxbt đã đăng một tin nhắn trên kênh của mình cho biết "một số người dùng Trust Wallet báo cáo rằng tiền đã bị đánh cắp từ địa chỉ ví của họ trong vài giờ qua." Sau đó, tài khoản X chính thức của Trust Wallet cũng đã đưa ra một tuyên bố chính thức xác nhận rằng tiện ích mở rộng trình duyệt Trust Wallet phiên bản 2.68 có rủi ro bảo mật và khuyên tất cả người dùng đang sử dụng phiên bản 2.68 nên tắt ngay lập tức và nâng cấp lên phiên bản 2.69.
Chiến thuật và kỹ thuật
Sau khi nhận được thông tin tình báo, đội ngũ bảo mật SlowMist lập tức bắt đầu phân tích các mẫu liên quan. Trước tiên, hãy cùng xem so sánh mã nguồn cốt lõi của các phiên bản 2.67 và 2.68 đã phát hành trước đó:
Bằng cách so sánh hai phiên bản mã, đoạn mã độc hại sau đây do hacker thêm vào đã được phát hiện:
Mã độc sẽ lặp qua tất cả các ví trong plug-in và gửi yêu cầu "lấy Cụm từ hạt giống " đến ví của từng người dùng để lấy Cụm từ hạt giống crypto của người dùng. Cuối cùng, nó giải mã cụm từ ghi nhớ bằng mật khẩu hoặc passkeyPassword mà người dùng đã nhập khi mở khóa ví. Nếu quá trình giải mã thành công, Cụm từ hạt giống của người dùng sẽ được gửi đến tên miền của kẻ tấn công api.metrics-trustwallet[.]com .
Chúng tôi cũng đã phân tích thông tin tên miền của kẻ tấn công. Kẻ tấn công đã sử dụng tên miền: metrics-trustwallet.com.
Theo kết quả điều tra, tên miền độc hại được đăng ký vào lúc 02:28:18 ngày 08/12/2025, và nhà cung cấp dịch vụ tên miền là NICENIC INTERNATIONA.
Yêu cầu đầu tiên tới api.metrics-trustwallet[.]com được ghi nhận vào ngày 21 tháng 12 năm 2025.
Thời điểm này gần như trùng khớp hoàn toàn với thời điểm phần mềm độc hại được cài đặt trong mã 12.22.
Chúng tôi tiếp tục tái hiện toàn bộ quá trình tấn công thông qua việc theo dõi và phân tích mã nguồn:
Phân tích động cho thấy rằng sau khi mở khóa ví, kẻ tấn công có thể được nhìn thấy đang điền thông tin Cụm từ hạt giống vào trường lỗi trong R1.
Nguồn gốc của dữ liệu lỗi này được lấy thông qua lệnh gọi hàm GET_SEED_PHRASE. Hiện tại, Trust Wallet hỗ trợ hai phương pháp mở khóa: mật khẩu và mật khẩu khóa. Khi mở khóa, kẻ tấn công lấy được mật khẩu hoặc mật khẩu khóa, sau đó gọi hàm GET_SEED_PHRASE để lấy Cụm từ hạt giống của ví (tương tự như private key), rồi đưa Cụm từ hạt giống vào biến "errorMessage".
Đoạn mã sau sử dụng emit để gọi GetSeedPhrase nhằm truy xuất dữ liệu Cụm từ hạt giống và điền vào biến error.
Phân tích lưu lượng truy cập bằng BurpSuite cho thấy sau khi thu được Cụm từ hạt giống, nó đã được đóng gói trong trường errorMessage của phần thân yêu cầu và gửi đến máy chủ độc hại (https://api.metrics-trustwallet.com), điều này phù hợp với phân tích trước đó.
Quá trình trên hoàn tất cuộc tấn công đánh cắp Cụm từ hạt giống/ private key. Ngoài ra, kẻ tấn công có thể đã quen thuộc với mã nguồn mở rộng, trong đó có đoạn mã PostHog JS được chèn vào để thu thập thông tin ví của người dùng. Tuy nhiên, bản vá lỗi của Trust Wallet không loại bỏ PostHog JS, và chính thức cũng nên loại bỏ đoạn mã liên quan này.
Phân tích tài sản bị đánh cắp
Theo địa chỉ của hacker được ZachXBT tiết lộ, số liệu thống kê của chúng tôi cho thấy, tính đến thời điểm viết bài này, khoảng 33 BTC (trị giá khoảng 3 triệu USD) đã bị tài sản từ Chuỗi Tài sản , khoảng 431 USD từ Chuỗi Solana và khoảng 3 triệu USD từ nhiều Chuỗi khác nhau, bao gồm cả mainnet Tài sản và Layer 2. Sau khi đánh cắp, hacker đã chuyển và trao đổi một số tài sản tài sản bằng cách sử dụng nhiều sàn giao dịch tập trung và cầu nối xuyên chuỗi .
Tóm tắt
Sự cố tấn công cửa hậu lần bắt nguồn từ việc sửa đổi mã nguồn độc hại mở rộng mã nguồn nội bộ của Trust Wallet (logic dịch vụ phân tích), chứ không phải do việc đưa vào một gói bên thứ ba chung chung bị giả mạo (chẳng hạn như một gói npm độc hại). Kẻ tấn công đã trực tiếp sửa đổi mã của ứng dụng, sử dụng thư viện PostHog hợp pháp để chuyển hướng dữ liệu phân tích đến một máy chủ độc hại. Do đó, chúng tôi có lý do để tin rằng đây là một cuộc tấn công APT chuyên nghiệp, và kẻ tấn công có thể đã giành quyền kiểm soát thiết bị hoặc quyền triển khai của các nhà phát triển Trust Wallet trước ngày 8 tháng 12.
gợi ý:
Sau khi sao private key riêng tư/ Cụm từ hạt giống của bạn, hãy chuyển tiền sang ví khác càng sớm càng tốt.
Nếu bạn đã cài đặt ví mở rộng Trust Wallet, bạn cần ngắt kết nối internet ngay lập tức như một điều kiện tiên quyết để khắc phục sự cố và thực hiện bất kỳ hành động nào.
Xuất private key/ Cụm từ hạt giống của bạn ngay lập tức và gỡ cài đặt ví mở rộng Trust Wallet.
Tuyên bố miễn trừ trách nhiệm: Là blockchain, các bài viết được đăng tải trên trang web này chỉ thể hiện quan điểm cá nhân của tác giả và khách mời và không phản ánh lập trường của Web3Caff. Thông tin trong các bài viết chỉ mang tham khảo và không cấu thành bất kỳ lời khuyên hoặc đề nghị đầu tư nào. Vui lòng tuân thủ các luật và quy định hiện hành của quốc gia hoặc khu vực của bạn.
Chào mừng bạn đến với cộng đồng chính thức của Web3Caff : Tài khoản Twitter | Tài khoản Twitter nghiên cứu của Web3Caff | Nhóm độc giả WeChat | Tài khoản chính thức WeChat
