事件概述:一次针对浏览器扩展的精准供应链攻击
近期,一场针对Trust Wallet浏览器扩展程序的安全事件引发了加密货币社区的广泛关注。据安全研究员ZachXBT披露,多名用户报告其钱包资产在短时间内被盗。Trust Wallet官方随后确认,其扩展程序的2.68版本存在严重安全风险,敦促所有用户立即禁用该版本并升级至已修复的2.69版本。初步分析表明,这并非普通的网络钓鱼,而是一次高度专业的APT(高级持续性威胁)攻击,直接针对钱包的核心代码库进行了篡改。
攻击技术深度剖析:恶意代码的植入与运作机制
安全研究人员通过对2.67与2.68版本的核心代码进行比对分析,发现了攻击者植入的恶意代码片段。该代码被巧妙地插入到应用程序自身的分析服务逻辑中。
恶意代码的执行流程
- 信息收集: 恶意代码会遍历插件内创建的所有钱包地址。
- 密钥请求: 对每个钱包发起“获取助记词”的请求,获得经加密的助记词数据。
- 本地解密: 利用用户在解锁钱包时输入的密码(password或passkeyPassword)在本地进行解密。
- 数据外传: 将解密后的明文助记词,通过伪装的数据请求发送至攻击者控制的域名
api.metrics-trustwallet[.]com。
攻击者注册的恶意域名(metrics-trustwallet.com)于2025年12月8日创建,并在12月21日左右开始首次接收数据,这与恶意代码被植入的时间线高度吻合。
攻击链复现与数据流追踪
通过动态调试技术可以观察到,在用户解锁钱包后,攻击代码会调用内部的GET_SEED_PHRASE函数。获取到的助记词并未直接返回,而是被填充到一个“errorMessage”字段中。随后,代码利用Trust Wallet原本用于产品分析的PostHogJS库,将包含敏感信息的“错误”数据正常上报,但目的地却被劫持到了攻击者的服务器。网络流量分析证实,请求体中的errorMessage字段确实包含了用户的完整助记词。
资产损失统计与黑客资金流向
根据公开的黑客地址信息进行链上追踪,截至事件发生时,造成的资产损失总额巨大:
- 比特币网络: 约33个BTC被盗,价值接近300万美元。
- 以太坊及其Layer 2网络: 损失资产价值约300万美元。
- Solana网络: 损失约431美元。
得手后,攻击者迅速通过多个中心化交易所以及跨链桥对资产进行了转移和兑换,试图混淆资金踪迹。
事件性质与安全启示
此次安全事件的根源在于Trust Wallet扩展程序内部代码库遭到了直接篡改,攻击者修改了应用程序自身的源代码,而非通过污染第三方依赖包(如npm包)的方式。攻击者利用合法的数据上报通道,将敏感的助记词信息传输至恶意服务器。这一切都指向这是一次有预谋、高度专业的供应链攻击,攻击者很可能在2025年12月8日之前就已获得了Trust Wallet开发或发布环节的某种系统访问权限。
给用户的紧急应对建议
- 立即断开网络: 若曾安装过Trust Wallet扩展,在进行任何操作前,应首先断开设备网络连接,以阻断潜在的数据外传。
- 导出密钥并卸载: 在离线环境下,立即从扩展中导出所有钱包的私钥或助记词,并彻底卸载存在风险的2.68版本扩展程序。
- 快速转移资产: 在确保助记词已安全备份后,尽快使用其他可信赖的非托管钱包(如硬件钱包或其他未受影响的钱包应用)创建新地址,并将所有资产转移至新地址。
此次事件再次为整个加密货币行业敲响警钟,凸显了软件供应链安全与开源组件审计的极端重要性。用户应始终保持对所用钱包软件更新的警惕,并优先考虑使用硬件钱包等冷存储方案保管大额资产。
