Robo de Navidad: Más de 6 millones de dólares perdidos, análisis del hackeo a la extensión de Trust Wallet

Original Title: "Christmas Heist | Trust Wallet Browser Extension Wallet Hacked Analysis"

Original Source: SlowMist Technology

Background

Esta mañana, hora de Pekín, @zachxbt anunció en el canal: "Algunos usuarios de Trust Wallet informaron que los fondos en sus wallet crypto han sido robados en las últimas horas." Posteriormente, la cuenta oficial de Trust Wallet en X publicó una declaración confirmando una vulnerabilidad de seguridad en la versión 2.68 de la extensión de navegador, aconsejando a todos los usuarios de la versión 2.68 que deshabiliten esta versión de inmediato y actualicen a la versión 2.69.

Tactics

Tras recibir la información, el equipo de seguridad de SlowMist realizó un análisis de las muestras relevantes. Comparemos el código principal de las versiones 2.67 y 2.68 lanzadas anteriormente:

Al comparar el código de las dos versiones, encontramos el código malicioso añadido por el hacker:

El código malicioso recorre todas las billeteras en el plugin, realiza una solicitud de "obtener frase mnemónica" para cada billetera del usuario para obtener la frase mnemónica cifrada y, finalmente, utiliza la contraseña o passkeyPassword ingresada por el usuario al desbloquear la billetera para descifrarla. Si el descifrado es exitoso, la frase mnemónica del usuario se envía al dominio del atacante `api.metrics-trustwallet[.]com`.

También analizamos la información del dominio del atacante; el atacante utilizó el dominio: metrics-trustwallet.com.

Tras la investigación, la fecha de registro de este dominio malicioso fue 2025-12-08 02:28:18, y el registrador del dominio es: NICENIC INTERNATIONA.

Los registros de solicitudes dirigidas a api.metrics-trustwallet[.]com comenzaron el 2025-12-21.

Este timestamp y la implantación del backdoor con código 12.22 son aproximadamente los mismos.

Continuamos reproduciendo todo el proceso de ataque mediante análisis de seguimiento de código:

A través del análisis dinámico, se puede ver que después de desbloquear la billetera, el atacante completó la información mnemónica en el error en R1.

Y la fuente de estos datos de Error se obtiene a través de la llamada a la función GET_SEED_PHRASE. Actualmente, Trust Wallet admite dos formas de desbloqueo: contraseña y passkeyPassword. El atacante, durante el proceso de desbloqueo, obtuvo la contraseña o passkeyPassword, luego llamó a GET_SEED_PHRASE para obtener la frase mnemónica de la billetera (así como la clave privada), y luego colocó la frase mnemónica en el "errorMessage".

A continuación se muestra el código que utiliza emit para llamar a GetSeedPhrase para obtener los datos de la frase mnemónica y completarlos en el error.

El análisis de tráfico realizado a través de BurpSuite muestra que, después de obtener la frase mnemónica, esta se encapsula en el campo errorMessage del cuerpo de la solicitud y se envía a un servidor malicioso (https[://]api[.]metrics-trustwallet[.]com), lo cual es consistente con el análisis anterior.

A través del proceso anterior, se completa el robo de la frase mnemónica/clave privada. Además, el atacante también está familiarizado con el código fuente y utiliza la plataforma de análisis de productos de ciclo de vida completo de código abierto PostHogJS para recopilar información de la billetera del usuario.

Stolen Asset Analysis

(https://t.me/investigations/296)

Según la dirección del hacker revelada por ZachXBT, hemos calculado que, al momento de la publicación, el monto total de activos robados en la blockchain Bitcoin es de aproximadamente 33 BTC (valorados en alrededor de 3 millones de USD), los activos robados en la blockchain Solana están valorados en alrededor de 431 USD, y los activos robados en la mainnet Ethereum y cadenas Layer 2 están valorados en alrededor de 3 millones de USD. Después de robar las monedas, el hacker utilizó varias exchange de criptomonedas centralizadas y puentes cross-chain para transferir e intercambiar algunos de los activos.

Summary

Este incidente de backdoor se originó a partir de una modificación de código malicioso en la base de código interna de la extensión de Trust Wallet (lógica de servicio de análisis), en lugar de la introducción de un paquete de terceros manipulado (como un paquete npm malicioso). El atacante alteró directamente el propio código de la aplicación, utilizando la biblioteca legítima PostHog para redirigir los datos de análisis a un servidor malicioso. Por lo tanto, tenemos razones para creer que se trató de un ataque APT profesional, donde el atacante pudo haber obtenido el control del dispositivo de los desarrolladores relacionados con Trust Wallet o permisos de implementación de lanzamiento antes del 8 de diciembre.

Recomendaciones:

1. Si ha instalado la extensión de Trust Wallet, debe desconectarse inmediatamente de internet como requisito previo para la investigación y las acciones.

2. Exporte inmediatamente su private key/frase mnemónica y desinstale la extensión de Trust Wallet.

3. Después de realizar una copia de seguridad de su clave privada/frase mnemónica, transfiera rápidamente sus fondos a otra billetera.

Original Article Link