Background
This morning Beijing time, @zachxbt posted a message in the channel stating that "some Trust Wallet users reported that funds in their wallet addresses were stolen in the past few hours." Subsequently, Trust Wallet's official X also released an official message, confirming that Trust Wallet browser extension version 2.68 has a security risk, reminding all users using version 2.68 to immediately disable this version and upgrade to version 2.69.
Tactics
Upon receiving the intelligence, the SlowMist security team promptly conducted an analysis of the relevant samples. Let's first compare the core code of the previously released versions 2.67 and 2.68:
By diffing the code of the two versions, we found the malicious code added by the hacker:
The malicious code traverses all wallets in the plugin and initiates a "get mnemonic" request for each user's wallet to obtain the user's encrypted mnemonic, and finally uses the password or passkeyPassword entered by the user when unlocking the wallet for decryption. If decryption is successful, the user's mnemonic will be sent to the attacker's domain `api.metrics-trustwallet[.]com`.
We also analyzed the attacker's domain information. The attacker used the domain: metrics-trustwallet.com.
Upon investigation, the registration time of this malicious domain was 2025-12-08 02:28:18, and the domain registrar is: NICENIC INTERNATIONA.
Starting from 2025-12-21, there are initial records of requests targeting api.metrics-trustwallet[.]com.
這個時間點和代碼 12.22 植入後門的時間基本吻合。
我們繼續通過代碼跟踪分析複現整個攻擊過程:
通過動態分析可以看到在解鎖錢包後,可以在 R1 中看到攻擊者將助記詞信息填充到 error 裡面。
而這個 Error 數據的來源是通過 GET_SEED_PHRASE 這個函數調用獲得的,目前 Trust Wallet 支持 password 和 passkeyPassword 兩種方式進行解鎖,攻擊者在解鎖的時候拿到了 password 或 passkeyPassword,然後調用 GET_SEED_PHRASE 獲取了錢包的助記詞(私鑰也是類似),然後將助記詞放到了「errorMessage」中。
如下是使用 emit 調用 GetSeedPhrase 獲取助記詞數據並填充到 error 的代碼。
通過 BurpSuite 進行的流量分析顯示,在獲取到助記詞後,將其封裝在請求體的 errorMessage 欄位中,並發送到惡意伺服器 (https[://]api[.]metrics-trustwallet[.]com),這與前面的分析是一致的。
經過以上流程,完成竊取助記詞/私鑰攻擊。另外攻擊者應該也熟悉擴展原始碼,其利用開源的全鏈路產品分析平臺 PostHogJS 採集用戶錢包信息。
被竊資產分析
(https://t.me/investigations/296)
根據 ZachXBT 披露的駭客地址,我們統計發現,截至發文時,Bitcoin 鏈上被竊資產總數約 33 BTC(價值約 300 萬 USD),Solana 鏈上被竊資產價值約 431 USD,Ethereum 主網及 Layer 2 等各條鏈被竊資產價值約 300 萬 USD。駭客在竊幣後把部分資產利用各種中心化交易平臺和跨鏈橋進行資產轉移和兌換。
總結
此次後門事件源於對 Trust Wallet 擴展內部程式庫(分析服務邏輯)的惡意原始碼修改,而非引入已被篡改的通用第三方套件(如惡意 npm 套件)。攻擊者直接篡改了應用程式自身的原始碼,利用合法的 PostHog 庫將分析資料導向惡意伺服器。因此,我們有理由相信這是一起專業的 APT 攻擊,攻擊者可能在 12 月 8 日之前已經控制 Trust Wallet 相關開發人員的裝置權限或發佈部署權限。
建議:
1. 如果您安裝過 Trust Wallet 擴展錢包,應該在第一時間斷網作為排查和操作前提。
2. 立即匯出私鑰/助記詞並卸載 Trust Wallet 擴展錢包。
3. 在備份好私鑰/助記詞後,儘快在其他錢包上做好資金的轉移。
