根據慢霧安全團隊及多家安全機構的分析,Trust Wallet 瀏覽器擴展程式的版本 2.68 存在安全漏洞,造成資金被竊。官方已提醒使用者立即停用 2.68,並升級至 2.69 以修補漏洞。
技術分析顯示,黑客在擴展原始碼中加入惡意邏輯,透過對 2.67 與 2.68 版本核心代碼的比對,發現可遍歷擴展中所有錢包並對每個錢包發起「取得助記詞」的請求。若解密成功,即會將助記詞透過使用者解鎖時輸入的 password 或 passkeyPassword 進行解密,並將助記詞發送到攻擊者的域名 api.metrics-trustwallet[.]com。
經分析,攻擊者使用的域名為 metrics-trustwallet.com,於 2025-12-08 註冊,託管商為 NICENIC INTERNATIONALA。2025-12-21 起開始對該域名進行請求,並於 12.22 附加後門代碼,與代碼追蹤結果基本吻合。
動態分析顯示,在解鎖錢包後,攻擊者會將助記詞填充到 error 欄位中,透過函數 GET_SEED_PHRASE 取得助記詞,並以 errorMessage 傳送至惡意伺服器。
同時,攻擊者似乎借助 PostHogJS 擷取使用者錢包資訊,進一步導向受害者資料至伺服端。
被盜資產初步統計顯示:比特幣約 33 BTC(價值約 300 萬美元)、Solana 約 431 美元、以太坊主網及 Layer 2 等資產約 300 萬美元,部分資產經由中心化交易所與跨鏈橋轉移。
結論認為此事件屬於對 Trust Wallet 擴展內部代碼庫的惡意修改,非外部第三方套件被篡改,且攻擊團隊像是較為專業的 APT,攻擊可能在 12 月 8 日前後已取得相關部署權限。
建議與防範:
- 若曾安裝 Trust Wallet 擴展,請第一時間切斷網路。
- 匯出私鑰/助記詞並卸載擴展。
- 在備份好私鑰/助記詞後,盡快在其他錢包中轉移資金。