北京時間今天凌晨 @zachxbt 在頻道發佈消息稱 “一些 Trust Wallet 用戶報告,在過去幾個小時內,他們的錢包地址中的資金被盜走” 。
作者:慢霧安全團隊
背景
北京時間今天凌晨 @zachxbt 在頻道發佈消息稱 “一些 Trust Wallet 用戶報告,在過去幾個小時內,他們的錢包地址中的資金被盜走” 。隨後 Trust Wallet 官方 X 也發佈官方消息,確認了 Trust Wallet 瀏覽器擴展程序 2.68 版本存在安全風險,提醒所有在使用 2.68 版本的用戶應立即禁用該版本並升級至 2.69 版本。
技戰法
慢霧安全團隊收到情報後,第一時間對相關樣本展開分析。我們先看一下之前發佈的 2.67 與 2.68 兩個版本的核心代碼對比:
通過將兩個版本的代碼進行 diff 發現黑客添加的惡意代碼如下:
惡意代碼會遍歷插件中所有的錢包,並對用戶的每個錢包發起一次 “獲取助記詞” 的請求獲取到用戶加密後的助記詞,最後使用用戶在解鎖錢包時輸入的 password 或 passkeyPassword 進行解密。如果解密成功將會把用戶的助記詞發送到攻擊者的域名 api.metrics-trustwallet[.]com 上。
我們順便對攻擊者的域名信息進行分析,攻擊者使用域名:metrics-trustwallet.com。
經過查詢,該惡意域名註冊時間為 2025-12-08 02:28:18,域名服務商:NICENIC INTERNATIONA。
在 2025-12-21 開始有首次針對 api.metrics-trustwallet[.]com 的請求記錄:
這個時間點和代碼 12.22 植入後門的時間基本吻合。
我們繼續通過代碼跟蹤分析復現整個攻擊過程:
通過動態分析可以看到在解鎖錢包後,可以在 R1 中看到攻擊者將助記詞信息填充到 error 裡面。
而這個 Error 數據的來源是通過 GET_SEED_PHRASE 這個函數調用獲得的,目前 Trust Wallet 支持 password 和 passkeyPassword 兩種方式進行解鎖,攻擊者在解鎖的時候拿到了 password 或 passkeyPassword,然後調用 GET_SEED_PHRASE 獲取了錢包的助記詞(私鑰也是類似),然後將助記詞放到了 “errorMessage” 中。
如下是使用 emit 調用 GetSeedPhrase 獲取助記詞數據並填充到 error 的代碼。
通過 BurpSuite 進行的流量分析顯示,在獲取到助記詞後,將其封裝在請求體的 errorMessage 字段中,併發送到惡意服務器 (https[://]api[.]metrics-trustwallet[.]com),這與前面的分析是一致的。
經過以上流程,完成盜取助記詞/私鑰攻擊。另外攻擊者應該也熟悉擴展源碼,其植入 PostHog JS 採集用戶錢包信息,但是,Trust Wallet 修復版本未移除 PostHog JS,官方也需要注意剔除一下相關代碼。
被盜資產分析
根據 ZachXBT 披露的黑客地址,我們統計發現,截至發文時,Bitcoin 鏈上被盜資產總數約 33 BTC(價值約 300 萬 USD),Solana 鏈上被盜資產價值約 431 USD,Ethereum 主網及 Layer 2 等各條鏈被盜資產價值約 300 萬 USD。黑客在盜幣後把部分資產利用各種中心化交易所和跨鏈橋進行資產轉移和兌換。
總結
此次後門事件源於對 Trust Wallet 擴展內部代碼庫(分析服務邏輯)的惡意源代碼修改,而非引入已被篡改的通用第三方包(如惡意 npm 包)。攻擊者直接篡改了應用程序自身的代碼,利用合法的 PostHog 庫將分析數據導向惡意服務器。所以我們有理由相信這是一起專業的 APT 攻擊, 攻擊者可能在 12 月 8 日之前已經控制 Trust Wallet 相關開發人員的設備權限或發佈部署權限。
建議:
在備份好私鑰/助記詞後,儘快在其他錢包上做好資金的轉移。
如果您安裝過 Trust Wallet 擴展錢包,應該在第一時間斷網作為排查和操作前提。
立即導出私鑰/助記詞並卸載 Trust Wallet 擴展錢包。
免責聲明:作為區塊鏈信息平臺,本站所發佈文章僅代表作者及嘉賓個人觀點,與 Web3Caff 立場無關。文章內的信息僅供參考,均不構成任何投資建議及要約,並請您遵守所在國家或地區的相關法律法規。
歡迎加入 Web3Caff 官方社群:X(Twitter)賬號丨Web3Caff Research X(Twitter)賬號丨微信讀者群丨微信公眾號
