圣诞劫： Trust Wallet 扩展钱包被黑分析

背景

北京时间今天凌晨，知名区块链安全研究员 @zachxbt 在社交媒体上发布消息称，“一些 Trust Wallet 用户报告称，在过去几个小时内，他们的钱包地址中的资金被盗。” 随后，Trust Wallet 官方 X 账号也发布声明，确认其浏览器扩展程序 2.68 版本存在严重安全漏洞，并提醒所有使用该版本的用户立即禁用并升级至 2.69 版本。

技战法

慢雾安全团队在收到相关情报后，第一时间对样本展开了深入分析。我们首先对比了 2.67 和 2.68 两个版本的核心代码：

通过代码对比发现，黑客在 2.68 版本中植入了恶意代码，具体如下：

这段恶意代码会遍历插件中所有的钱包，并对每个钱包发起“获取助记词”的请求，随后利用用户解锁钱包时输入的密码（password 或 passkeyPassword）解密助记词。一旦解密成功，助记词会被发送到攻击者的域名 `api.metrics-trustwallet[.]com`。

我们进一步分析了攻击者的域名信息，发现攻击者使用的域名为 metrics-trustwallet.com。

经过查询，该恶意域名注册时间为 2025 年 12 月 8 日 02:28:18，域名服务商为 NICENIC INTERNATIONA。

在 2025 年 12 月 21 日首次出现针对 api.metrics-trustwallet[.]com 的请求记录：

这一时间点与代码中植入后门的时间（12 月 22 日）基本吻合。

我们通过动态分析复现了整个攻击过程：

在用户解锁钱包后，可以在 R1 中看到攻击者将助记词信息填充到 error 字段中。

Error 数据来源于 GET_SEED_PHRASE 函数调用。Trust Wallet 支持 password 和 passkeyPassword 两种解锁方式，攻击者在解锁过程中获取了用户的密码，并调用 GET_SEED_PHRASE 获取助记词（私钥类似），随后将其放入 errorMessage 中。

以下是使用 emit 调用 GetSeedPhrase 获取助记词数据并填充到 error 的代码：

通过 BurpSuite 进行流量分析显示，攻击者在获取助记词后，将其封装在请求体的 errorMessage 字段中，并发送到恶意服务器 (https[://]api[.]metrics-trustwallet[.]com)，这与之前的分析一致。

至此，攻击者完成了盗取助记词/私钥的过程。此外，攻击者还利用开源的全链路产品分析平台 PostHogJS 采集用户钱包信息。

被盗资产分析

(https://t.me/investigations/296)

根据 ZachXBT 披露的黑客地址，我们统计发现，截至发文时，Bitcoin 链上被盗资产总数约为 33 BTC（价值约 300 万美元），Solana 链上被盗资产价值约 431 美元，Ethereum 主网及 Layer 2 等各条链被盗资产价值约 300 万美元。黑客在盗币后，通过多种中心化交易所和跨链桥进行资产转移和兑换。

总结

此次事件源于对 Trust Wallet 扩展内部代码库的恶意源代码修改，而非引入已被篡改的通用第三方包（如恶意 npm 包）。攻击者直接篡改了应用程序自身的代码，并利用合法的 PostHog 库将分析数据导向恶意服务器。因此，我们有理由相信这是一起专业的 APT 攻击，攻击者可能早在 12 月 8 日之前就已经控制了 Trust Wallet 相关开发人员的设备权限或发布部署权限。

建议：

1. 如果您安装过 Trust Wallet 扩展钱包，请立即断网以进行排查和操作。

2. 立即导出私钥/助记词并卸载 Trust Wallet 扩展钱包。

3. 在备份好私钥/助记词后，尽快将资金转移到其他安全的钱包中。