事件概述:一场针对浏览器扩展钱包的精准攻击
近期,知名加密货币钱包Trust Wallet的浏览器扩展程序遭遇严重安全事件。据安全研究员ZachXBT披露,多名用户报告其钱包资产在短时间内被盗。Trust Wallet官方随后确认,其扩展程序的2.68版本存在高危漏洞,敦促所有用户立即停用该版本并升级至已修复的2.69版本。初步统计显示,此次事件造成的总损失已超过600万美元。
攻击技术深度剖析
安全团队在获取事件情报后,迅速对存在问题的扩展版本进行了逆向工程与代码审计。通过对比2.67(安全版本)与2.68(被篡改版本)的核心代码,发现了攻击者植入的恶意逻辑。
恶意代码的运作机制
攻击者在代码中插入了一段精心设计的函数,其主要执行流程如下:
- 遍历钱包: 恶意代码会扫描插件中存储的所有钱包地址。
- 窃取核心密钥: 对每个钱包发起“获取助记词”的请求,获得经过加密的助记词数据。
- 解密与外传: 利用用户在解锁钱包时输入的密码(password或passkeyPassword)对加密的助记词进行解密。一旦解密成功,便将完整的助记词通过HTTPS协议发送至攻击者控制的域名:
api.metrics-trustwallet[.]com。
攻击时间线与基础设施溯源
对攻击者域名的调查显示,metrics-trustwallet.com 注册于2025年12月8日。首次观察到向该域名发送请求的记录始于12月21日,这与恶意代码被植入扩展程序的时间点高度吻合,表明这是一次有预谋的长期行动。
攻击流程复现与数据验证
通过动态调试技术,安全研究人员完整复现了攻击链条。当用户解锁钱包后,恶意代码会调用内部的GET_SEED_PHRASE函数。获取到的助记词并非用于正常功能,而是被巧妙地封装在一个“错误信息”(errorMessage)字段中。随后,扩展程序会向恶意服务器发起一个看似正常的POST请求,将包含助记词的错误信息上传。网络流量抓包分析证实了数据传输的目的地与方式。
链上资产损失追踪
根据公开的黑客地址进行链上数据分析,资产损失波及多条主流区块链:
- 比特币网络: 损失约33枚BTC,价值近300万美元。
- 以太坊及其二层网络: 各类ERC-20代币及ETH损失价值合计约300万美元。
- Solana网络: 损失价值约431美元的资产。
得手后,攻击者迅速通过多家中心化交易所和跨链桥接服务对赃款进行转移和混淆,试图掩盖资金流向。
事件性质与安全启示
本次安全事件并非源于常见的第三方依赖库污染,而是针对Trust Wallet扩展程序自身代码库的直接篡改。攻击者巧妙地劫持了用于产品分析的合法代码逻辑(如PostHog库),将数据导向了自建的恶意服务器。这种手法隐蔽性极高,表明攻击者很可能提前获得了项目代码仓库或开发者系统的访问权限,属于一次专业的定向攻击。
紧急应对措施建议
如果您曾安装或正在使用Trust Wallet浏览器扩展,请立即按以下步骤操作:
- 立即断开网络: 在进行任何操作前,首先断开设备网络连接,防止恶意代码继续外传数据。
- 导出并卸载: 在离线状态下,尽快从扩展中导出所有钱包的助记词或私钥,随后彻底卸载该扩展程序。
- 转移资产: 使用备份的助记词,在一个经过验证的安全钱包(如新安装的硬件钱包或其他可信软件钱包)中恢复账户,并将所有资金转移至新生成的安全地址。
- 保持警惕: 未来更新任何加密货币相关软件时,应优先关注官方公告,确认版本安全性后再进行更新。
