Robo cripto navideño: más de 6 millones de USD perdidos, análisis del hackeo de la extensión de Trust Wallet para Chrome

Título original: "Christmas Heist | Trust Wallet Browser Extension Wallet Hacked Analysis"

Fuente original: SlowMist Technology

Antecedentes

Esta mañana, hora de Pekín, @zachxbt anunció en el canal: "Algunos usuarios de Trust Wallet informaron que los fondos en sus direcciones de crypto wallet habían sido robados en las últimas horas". Posteriormente, el X oficial de Trust Wallet también publicó una declaración oficial confirmando una vulnerabilidad de seguridad en la versión 2.68 de la extensión de navegador de Trust Wallet, aconsejando a todos los usuarios que utilizan la versión 2.68 que deshabiliten inmediatamente esta versión y actualicen a la versión 2.69.

Tácticas

Tras recibir la inteligencia, el equipo de seguridad de SlowMist realizó rápidamente un análisis de las muestras relevantes. Comparemos primero el código central de las versiones 2.67 y 2.68 lanzadas anteriormente:

Al comparar el código de las dos versiones, encontramos el código malicioso añadido por el hacker:

El código malicioso recorrerá todas las wallets en el plugin, realizará una solicitud de "obtener frase mnemotécnica" para la wallet de cada usuario para obtener la frase mnemotécnica cifrada del usuario, y finalmente utilizará la contraseña o el passkeyPassword ingresado por el usuario al desbloquear la wallet para el descifrado. Si el descifrado es exitoso, la frase mnemotécnica del usuario se enviará al dominio del atacante `api.metrics-trustwallet[.]com`.

También analizamos la información del dominio del atacante; el atacante utilizó el dominio: metrics-trustwallet.com.

Tras la investigación, el tiempo de registro de este dominio malicioso fue 2025-12-08 02:28:18, y el registrador del dominio es: NICENIC INTERNATIONA.

Los registros de solicitudes dirigidos a api.metrics-trustwallet[.]com comenzaron el 2025-12-21.

Esta marca de tiempo y la implantación de la puerta trasera con el código 12.22 son aproximadamente las mismas.

Continuamos reproduciendo todo el proceso de ataque a través del análisis de seguimiento de código:

A través del análisis dinámico, se puede ver que después de desbloquear la wallet, el atacante llenó la información mnemotécnica en el error en R1.

Y la fuente de estos datos de error se obtiene a través de la llamada a la función GET_SEED_PHRASE. Actualmente, Trust Wallet admite dos formas de desbloquear: contraseña y passkeyPassword. El atacante, durante el proceso de desbloqueo, obtuvo la contraseña o el passkeyPassword, luego llamó a GET_SEED_PHRASE para obtener la frase mnemotécnica de la wallet (así como la clave privada), y luego colocó la frase mnemotécnica en el "errorMessage".

A continuación se muestra el código que utiliza emit para llamar a GetSeedPhrase para obtener los datos de la frase mnemotécnica y llenarlos en el error.

El análisis de tráfico realizado a través de BurpSuite muestra que después de obtener la frase mnemotécnica, se encapsula en el campo errorMessage del cuerpo de la solicitud y se envía a un servidor malicioso (https[://]api[.]metrics-trustwallet[.]com), lo cual es consistente con el análisis anterior.

A través del proceso anterior, se completa el robo de la frase mnemotécnica/clave privada. Además, el atacante también está familiarizado con el código fuente y utiliza la plataforma de análisis de ciclo de vida completo de productos de código abierto PostHogJS para recopilar información de la wallet del usuario.

Análisis de activos robados

(https://t.me/investigations/296)

Según la dirección del hacker revelada por ZachXBT, hemos calculado que al momento de la publicación, la cantidad total de activos robados en la blockchain de Bitcoin es de aproximadamente 33 BTC (valorados en alrededor de 3 millones de USD), los activos robados en la blockchain de Solana están valorados en alrededor de 431 USD, y los activos robados en el Ethereum mainnet y las cadenas de Layer 2 están valorados en alrededor de 3 millones de USD. Después de robar las monedas, el hacker utilizó varios exchange de criptomonedas y puentes cross-chain para transferir e intercambiar algunos de los activos.

Resumen

Este incidente de puerta trasera se originó a partir de una modificación de código malicioso en la base de código interna de la extensión de Trust Wallet (lógica del servicio de análisis), en lugar de la introducción de un paquete de terceros manipulado (como un paquete npm malicioso). El atacante alteró directamente el propio código de la aplicación, utilizando la biblioteca legítima PostHog para redirigir los datos de análisis a un servidor malicioso. Por lo tanto, tenemos razones para creer que se trató de un ataque APT profesional, donde el atacante pudo haber obtenido el control de los dispositivos de los desarrolladores de Trust Wallet o los permisos de despliegue de versiones antes del 8 de diciembre.

Recomendaciones:

1. Si ha instalado la extensión de wallet de Trust Wallet, debe desconectarse inmediatamente de Internet como requisito previo para la investigación y las acciones.

2. Exporte inmediatamente su clave privada/frase mnemotécnica y desinstale la extensión de wallet de Trust Wallet.

3. Después de realizar una copia de seguridad de su clave privada/frase mnemotécnica, transfiera rápidamente sus fondos a otra wallet.

Enlace al artículo original