Piratage de l'extension Trust Wallet : plus de 6 millions de dollars dérobés

Titre original : "Christmas Heist | Trust Wallet Browser Extension Wallet Hacked Analysis"

Source originale : SlowMist Technology

Background

Tôt ce matin, heure de Pékin, @zachxbt a annoncé sur le canal : "Certains utilisateurs de Trust Wallet ont signalé que les fonds de leurs portefeuilles crypto avaient été volés au cours des dernières heures." Par la suite, le compte X officiel de Trust Wallet a publié une déclaration confirmant une vulnérabilité de sécurité dans la version 2.68 de l'extension Trust Wallet, conseillant à tous les utilisateurs de cette version de la désactiver immédiatement et de passer à la version 2.69.

Tactics

Après avoir reçu l'information, l'équipe de sécurité de SlowMist a rapidement analysé les échantillons concernés. Comparons d'abord le code source des versions 2.67 et 2.68 précédemment publiées :

En comparant le code des deux versions, nous avons identifié le code malveillant ajouté par le pirate :

Le code malveillant parcourt tous les portefeuilles du plugin, effectue une requête "get mnemonic phrase" pour chaque portefeuille afin d'obtenir la phrase mnémonique chiffrée de l'utilisateur, et utilise enfin le mot de passe ou le passkeyPassword saisi par l'utilisateur lors du déverrouillage pour le déchiffrement. Si le déchiffrement réussit, la phrase mnémonique de l'utilisateur est envoyée au domaine de l'attaquant `api.metrics-trustwallet[.]com`.

Nous avons également analysé les informations du domaine de l'attaquant ; il a utilisé le domaine : metrics-trustwallet.com.

Après enquête, la date d'enregistrement de ce domaine malveillant était le 08/12/2025 à 02:28:18, et le registraire est : NICENIC INTERNATIONA.

Les enregistrements de requêtes ciblant api.metrics-trustwallet[.]com ont commencé le 21/12/2025.

Ce timestamp et l'implantation de la porte dérobée avec le code 12.22 sont approximativement identiques.

Nous continuons à reproduire l'intégralité du processus d'attaque par analyse de suivi de code :

Grâce à l'analyse dynamique, on peut voir qu'après le déverrouillage du portefeuille, l'attaquant a rempli les informations mnémoniques dans l'erreur en R1.

La source de ces données d'erreur est obtenue via l'appel de fonction GET_SEED_PHRASE. Actuellement, Trust Wallet prend en charge deux méthodes de déverrouillage : le mot de passe et le passkeyPassword. L'attaquant, lors du processus de déverrouillage, a obtenu le mot de passe ou le passkeyPassword, a ensuite appelé GET_SEED_PHRASE pour obtenir la phrase mnémonique du portefeuille (ainsi que la clé privée), puis a placé la phrase mnémonique dans le "errorMessage".

Voici le code utilisant emit pour appeler GetSeedPhrase afin d'obtenir les données de la phrase mnémonique et de les remplir dans l'erreur.

L'analyse du trafic effectuée via BurpSuite montre qu'après avoir obtenu la phrase mnémonique, celle-ci est encapsulée dans le champ errorMessage du corps de la requête et envoyée à un serveur malveillant (https[://]api[.]metrics-trustwallet[.]com), ce qui est cohérent avec l'analyse précédente.

Grâce au processus ci-dessus, le vol de la phrase mnémonique/clé privée est terminé. De plus, l'attaquant connaît également le code source et utilise la plateforme d'analyse de produits open-source PostHogJS pour collecter les informations du portefeuille de l'utilisateur.

Stolen Asset Analysis

(https://t.me/investigations/296)

Selon l'adresse du pirate divulguée par ZachXBT, nous avons calculé qu'au moment de la publication, le montant total des actifs volés sur la blockchain Bitcoin est d'environ 33 BTC (évalués à environ 3 millions de dollars), les actifs volés sur la blockchain Solana sont évalués à environ 431 USD, et les actifs volés sur le mainnet Ethereum et les chaînes Layer 2 sont évalués à environ 3 millions de dollars. Après avoir volé les cryptomonnaies, le pirate a utilisé diverses plateformes crypto centralisées et des ponts inter-chaînes pour transférer et échanger certains des actifs.

Summary

Cet incident de porte dérobée provient d'une modification malveillante du code source interne de l'extension Trust Wallet (logique de service d'analyse), plutôt que de l'introduction d'un paquet tiers falsifié (tel qu'un paquet npm malveillant). L'attaquant a directement modifié le code de l'application, utilisant la bibliothèque légitime PostHog pour rediriger les données d'analyse vers un serveur malveillant. Par conséquent, nous avons des raisons de croire qu'il s'agissait d'une attaque APT professionnelle, où l'attaquant pourrait avoir pris le contrôle de l'appareil des développeurs liés à Trust Wallet ou des autorisations de déploiement de version avant le 8 décembre.

Recommandations :

1. Si vous avez installé l'extension de portefeuille Trust Wallet, vous devez immédiatement vous déconnecter d'Internet comme condition préalable à l'enquête et aux actions.

2. Exportez immédiatement votre private key/phrase mnémonique et désinstallez l'extension de portefeuille Trust Wallet.

3. Après avoir sauvegardé votre clé privée/phrase mnémonique, transférez rapidement vos fonds vers un autre portefeuille crypto.

Original Article Link