暗号資産の購入
先物Trust Wallet拡張機能のハッキング:600万ドル以上の被害を分析
元のタイトル: "Christmas Heist | Trust Wallet Browser Extension Wallet Hacked Analysis"
元のソース: SlowMist Technology
背景
北京時間の今朝早く、@zachxbtがチャンネルで「一部のTrust Walletユーザーから、過去数時間でウォレットアドレス内の資金が盗まれたとの報告があった」と発表しました。その後、Trust Walletの公式Xも公式声明を発表し、Trust Walletブラウザ拡張機能バージョン2.68にセキュリティ上の脆弱性があることを認め、バージョン2.68を使用しているすべてのユーザーに対し、直ちにこのバージョンを無効にしてバージョン2.69にアップグレードするよう勧告しました。
手口
情報を入手後、SlowMistセキュリティチームは直ちに関連サンプルの分析を行いました。まず、以前にリリースされた2.67バージョンと2.68バージョンのコアコードを比較してみましょう:
2つのバージョンのコードを比較することで、ハッカーによって追加された悪意のあるコードを発見しました:
この悪意のあるコードは、プラグイン内のすべてのウォレットを走査し、各ユーザーのウォレットに対して「シードフレーズ取得」リクエストを行い、ユーザーの暗号化されたシードフレーズを取得します。最後に、ウォレットのロックを解除する際に入力されたパスワードまたはpasskeyPasswordを使用して復号化します。復号化に成功すると、ユーザーのシードフレーズは攻撃者のドメイン `api.metrics-trustwallet[.]com` に送信されます。
また、攻撃者のドメイン情報も分析しました。攻撃者は `metrics-trustwallet.com` というドメインを使用していました。
調査の結果、この悪意のあるドメインの登録日時は2025年12月8日 02:28:18であり、ドメイン登録業者はNICENIC INTERNATIONAでした。
api.metrics-trustwallet[.]com を標的としたリクエスト記録は2025年12月21日に開始されました。
このタイムスタンプと、コード12.22によるバックドアの埋め込み時期はほぼ一致しています。
コード追跡分析を通じて、攻撃プロセス全体を再現し続けます:
動的分析を通じて、ウォレットのロック解除後、攻撃者がR1のエラーにシード情報を入力したことがわかります。
そして、このエラーデータのソースは GET_SEED_PHRASE 関数呼び出しを通じて取得されます。現在、Trust WalletはパスワードとpasskeyPasswordの2つのロック解除方法をサポートしています。攻撃者はロック解除プロセス中にパスワードまたはpasskeyPasswordを取得し、その後 GET_SEED_PHRASE を呼び出してウォレットのシードフレーズ(秘密鍵も同様)を取得し、そのシードフレーズを「errorMessage」に入れました。
以下は、emitを使用して GetSeedPhrase を呼び出し、シードフレーズデータを取得してエラーに埋め込むコードです。
BurpSuiteを通じて実行されたトラフィック分析によると、シードフレーズを取得した後、それはリクエストボディの errorMessage フィールドにカプセル化され、悪意のあるサーバー(https[://]api[.]metrics-trustwallet[.]com)に送信されます。これは以前の分析と一致しています。
上記の手順により、シードフレーズ/秘密鍵の盗難が完了します。さらに、攻撃者はソースコードに精通しており、オープンソースのフルライフサイクル製品分析プラットフォームである PostHogJS を利用して、ユーザーのウォレット情報を収集しています。
Stolen Asset Analysis
(https://t.me/investigations/296)
ZachXBTが公開したハッカーのアドレスによると、公開時点での計算では、btc-42">ビットコイン ブロックチェーン上の盗難資産総額は約33 BTC(約300万ドル相当)、ソラナ ブロックチェーン上の盗難資産は約431ドル相当、eth-143">イーサリアム メインネットおよびLayer 2チェーン上の盗難資産は約300万ドル相当です。コインを盗んだ後、ハッカーはさまざまな取引所やクロスチェーンブリッジを使用して、資産の一部を転送および交換しました。
Summary
このバックドア事件は、改ざんされたサードパーティパッケージ(悪意のあるnpmパッケージなど)の導入ではなく、Trust Wallet拡張機能の内部コードベース(分析サービスロジック)への悪意のあるコード変更に起因しています。攻撃者はアプリケーション自体のコードを直接変更し、正当な PostHog ライブラリを使用して分析データを悪意のあるサーバーにリダイレクトしました。したがって、これはプロのAPT攻撃であると考えられます。攻撃者は12月8日以前に、Trust Wallet関連の開発者のデバイスまたはリリース展開権限を掌握していた可能性があります。
推奨事項:
1. Trust Wallet拡張機能ウォレットをインストールしている場合は、調査および行動の前提条件として、直ちにインターネットから切断してください。
2. 直ちに秘密鍵/シードフレーズをエクスポートし、Trust Wallet拡張機能ウォレットをアンインストールしてください。
3. 秘密鍵/シードフレーズをバックアップした後、速やかに資金を別のウォレットに転送してください。
関連記事
米国市場向けに約3億ドル中間選挙、テザー幹部が暗号資産業界で2番目に大きな政治資金団体を率いる
「Auto Earn」とは何ですか?「Auto Earn 2026」で追加の無料仮想通貨を獲得する方法
「Auto Earn」とは何ですか?また、どのように使うのですか?このガイドでは、「オート・アーン」の仕組みや残高の増加方法について解説します。また、「オート・アーン・ブースト・フェスト」期間中、紹介者によって追加報酬を獲得できる場合がある点についても説明します。
OpenAIとAnthropicは同じ日に買収を発表し、二重のIPO不安を引き起こしました。
オートアーン比較 2026年:どの取引所が最も多くのボーナスを提供しますか?
暗号におけるオートアーンとは何ですか?2026年のクラーケン、OKX、バイビット、バイナンス、WEEXのオートアーン機能を比較し、どのプラットフォームが標準的な利回りメカニズムを超えた追加のプロモーション報酬を提供しているかを確認してください。
フォーブス:量子技術は暗号通貨業界を脅かすのか?しかし、それはむしろチャンスである可能性が高い
タイガーリサーチ:アジアの9大市場における個人投資家の現状分析
フォーブス:量子技術は暗号業界に脅威をもたらすのか?しかし、より可能性が高いのは機会である。
Anthropicのトリプルモーメント:コードリーク、政府の対立、そして武器化
Rhythm X Zhihu Hong Kong イベント採用スキル、ライブパフォーマンスを披露するチャンス!今すぐ登録!
CLARITY法2026年の更新:ステーブルコインの利回り禁止、上院の妥協、そしてそれが暗号市場に与える影響
CLARITY法は2026年にステーブルコインの利回りルール、DeFiインセンティブ、暗号流動性を再構築する可能性があります。最新の上院の更新、タイムラインの変更、そしてこの規制が暗号トレーダーにとって何を意味するのかを学びましょう。
ビットコインマイニング企業がまたもや逃亡
ステーブルコインの買収:勝者総取りにはならない
テザー幹部がアメリカ中間選挙に向けたプロクリプトPACを主導
テザーの政府関係責任者、ジェシー・スピーロが、2026年のアメリカ中間選挙に向けたクリプトバックのスーパー政治行動委員会(PAC)を主導する予定です。 Fellowship PACは、クリプト業界から100億ドル以上を調達したと主張しており、イノベーションやデジタル資産の法規制の明確化を支持する候補者を支援します。 クリプトアラインドのPAC、Fairshakeがすでに米国の州予備選挙に影響を及ぼしており、Fellowship PACも同様に選挙に介入する可能性があります。 米国上院では、ステーブルコイン收益に関する議論が引き続きクリプト関連の立法を影響しています。 2025年に下院が通過させたデジタル資産市場構造法案が、上院で停滞し、ステーブルコイン、トークン化された株式、倫理問題を巡る議論が続いています。 WEEX Crypto News, 2026-04-02 07:47:54 プロクリプトPACの目的と影響 クリプトバックのスーパーPAC、Fellowshipが登場し、その主な目的は2026年の米中間選挙でクリプトに理解のある候補者を支援することです。PACの主導者であるジェシー・スピーロによれば、目標は技術革新の推進とデジタル資産に対する規制の明確化です。バッカーズからの100億ドル以上の資金調達は、PACの影響力を強化する可能性があります。 米国の金融システムを変革することを目指しているFellowship PACは、クリプト業界の資金を利用して、政策決定にアプローチするというユニークな立場にあります。クリプト通貨はすでに経済に大きな影響を及ぼしており、特にステーブルコインの市場は注目されています。その中でUSDTが最も顕著です。 クリプトバックPACは法規制の進展を進めるための重要なプレイヤーとなり、2026年の選挙では大きな影響力を持つと予想されています。 ステーブルコイン收益に関する議会での議論…
2400億ドルの暗黒の森、アイアン・ファイナンスの崩壊
PolymarketでAIを使ってお金を稼ぐ方法とは?
AI時代の節約哲学:賢くお金を使う方法
3 hello 制限、クロードコードの制限はどこに行ったか。28日間のキャッシュバグ、そして「控えめに使って」と奨励する公式の反応
モーニングレポート|YZi LabsがPredict.funへの投資を戦略的に増額。Drift Protocolが攻撃を受け、少なくとも2億ドルの損失を被る。Coinbaseのx402がLinux Foundationに加盟。
米国市場向けに約3億ドル中間選挙、テザー幹部が暗号資産業界で2番目に大きな政治資金団体を率いる
「Auto Earn」とは何ですか?「Auto Earn 2026」で追加の無料仮想通貨を獲得する方法
「Auto Earn」とは何ですか?また、どのように使うのですか?このガイドでは、「オート・アーン」の仕組みや残高の増加方法について解説します。また、「オート・アーン・ブースト・フェスト」期間中、紹介者によって追加報酬を獲得できる場合がある点についても説明します。
OpenAIとAnthropicは同じ日に買収を発表し、二重のIPO不安を引き起こしました。
オートアーン比較 2026年:どの取引所が最も多くのボーナスを提供しますか?
暗号におけるオートアーンとは何ですか?2026年のクラーケン、OKX、バイビット、バイナンス、WEEXのオートアーン機能を比較し、どのプラットフォームが標準的な利回りメカニズムを超えた追加のプロモーション報酬を提供しているかを確認してください。
App