Krypto-Weihnachtsraub: Über 6 Millionen USD verloren, Analyse des Trust Wallet Chrome-Erweiterungs-Hacks

Originaltitel: "Christmas Heist | Trust Wallet Browser Extension Wallet Hacked Analysis"

Originalquelle: SlowMist Technology

Hintergrund

Heute Morgen Pekinger Zeit kündigte @zachxbt im Kanal an: "Einige Trust Wallet-Nutzer berichteten, dass Gelder in ihren Wallet-Adressen in den letzten Stunden gestohlen wurden." Daraufhin veröffentlichte das offizielle X-Konto von Trust Wallet eine Stellungnahme, die eine Sicherheitslücke in der Trust Wallet Browser-Erweiterung Version 2.68 bestätigte, und riet allen Nutzern, die Version 2.68 verwenden, diese sofort zu deaktivieren und auf Version 2.69 zu aktualisieren.

Taktiken

Nach Erhalt der Informationen führte das SlowMist-Sicherheitsteam umgehend eine Analyse der relevanten Proben durch. Vergleichen wir zunächst den Kerncode der zuvor veröffentlichten Versionen 2.67 und 2.68:

Durch den Vergleich des Codes der beiden Versionen fanden wir den bösartigen Code, der vom Hacker hinzugefügt wurde:

Der bösartige Code durchläuft alle Wallets im Plugin, stellt eine "Get Mnemonic Phrase"-Anfrage für jedes Nutzer-Wallet, um die verschlüsselte Mnemonic-Phrase des Nutzers zu erhalten, und verwendet schließlich das Passwort oder das vom Nutzer beim Entsperren des Wallets eingegebene passkeyPassword zur Entschlüsselung. Wenn die Entschlüsselung erfolgreich ist, wird die Mnemonic-Phrase des Nutzers an die Domain des Angreifers `api.metrics-trustwallet[.]com` gesendet.

Wir haben auch die Domain-Informationen des Angreifers analysiert; der Angreifer verwendete die Domain: metrics-trustwallet.com.

Bei der Untersuchung ergab sich, dass das Registrierungsdatum dieser bösartigen Domain der 08.12.2025 um 02:28:18 Uhr war und der Domain-Registrar NICENIC INTERNATIONA ist.

Anfrageprotokolle an api.metrics-trustwallet[.]com begannen am 21.12.2025.

Dieser Zeitstempel und die Implementierung der Backdoor mit Code 12.22 sind in etwa gleich.

Wir reproduzieren weiterhin den gesamten Angriffsprozess durch Code-Tracking-Analyse:

Durch dynamische Analyse ist ersichtlich, dass der Angreifer nach dem Entsperren des Wallets die Mnemonic-Informationen in den Fehler in R1 einfügte.

Und die Quelle dieser Fehlerdaten wird durch den Funktionsaufruf GET_SEED_PHRASE erhalten. Derzeit unterstützt Trust Wallet zwei Möglichkeiten zum Entsperren: Passwort und passkeyPassword. Der Angreifer erhielt während des Entsperrvorgangs das Passwort oder passkeyPassword, rief dann GET_SEED_PHRASE auf, um die Mnemonic-Phrase des Wallets (sowie den Private Key) zu erhalten, und platzierte die Mnemonic-Phrase dann in der "errorMessage".

Unten ist der Code, der emit verwendet, um GetSeedPhrase aufzurufen, um die Mnemonic-Phrasendaten zu erhalten und sie in den Fehler einzufügen.

Die durch BurpSuite durchgeführte Traffic-Analyse zeigt, dass die Mnemonic-Phrase nach dem Erhalt in das errorMessage-Feld des Request-Bodys gekapselt und an einen bösartigen Server (https[://]api[.]metrics-trustwallet[.]com) gesendet wird, was mit der vorherigen Analyse übereinstimmt.

Durch den obigen Prozess ist der Diebstahl der Mnemonic-Phrase/des Private Keys abgeschlossen. Darüber hinaus ist der Angreifer auch mit dem Quellcode vertraut und nutzt die Open-Source-Plattform zur Analyse des vollständigen Produktlebenszyklus PostHogJS, um Nutzer-Wallet-Informationen zu sammeln.

Analyse der gestohlenen Vermögenswerte

(https://t.me/investigations/296)

Laut der vom Hacker offengelegten Adresse von ZachXBT haben wir berechnet, dass zum Zeitpunkt der Veröffentlichung der Gesamtbetrag der gestohlenen Vermögenswerte auf der Bitcoin Blockchain etwa 33 BTC beträgt (im Wert von etwa 3 Millionen USD), die gestohlenen Vermögenswerte auf der Solana Blockchain einen Wert von etwa 431 USD haben und die gestohlenen Vermögenswerte auf dem Ethereum Mainnet und den Layer 2 Chains einen Wert von etwa 3 Millionen USD haben. Nach dem Diebstahl der Coins nutzte der Hacker verschiedene Krypto Börsen und Cross-Chain-Bridges, um einige der Vermögenswerte zu transferieren und zu tauschen.

Zusammenfassung

Dieser Backdoor-Vorfall resultierte aus einer bösartigen Code-Änderung am internen Quellcode der Trust Wallet-Erweiterung (Analyse-Servicelogik), anstatt aus der Einführung eines manipulierten Drittanbieter-Pakets (wie einem bösartigen npm-Paket). Der Angreifer änderte den eigenen Code der Anwendung direkt und nutzte die legitime PostHog-Bibliothek, um Analysedaten auf einen bösartigen Server umzuleiten. Daher haben wir Grund zu der Annahme, dass es sich um einen professionellen APT-Angriff handelte, bei dem der Angreifer möglicherweise vor dem 8. Dezember die Kontrolle über die Geräte oder Berechtigungen zur Release-Bereitstellung der Trust Wallet-Entwickler erlangt hat.

Empfehlungen:

1. Wenn Sie die Trust Wallet-Erweiterung installiert haben, sollten Sie als Voraussetzung für Untersuchungen und Maßnahmen sofort die Internetverbindung trennen.

2. Exportieren Sie sofort Ihren Private Key/Ihre Mnemonic-Phrase und deinstallieren Sie die Trust Wallet-Erweiterung.

3. Übertragen Sie nach der Sicherung Ihres Private Keys/Ihrer Mnemonic-Phrase umgehend Ihre Gelder auf ein anderes Wallet.

Link zum Originalartikel