TrustWallet 黑客事件解析：從更新到錢包被盜，價值$16M 美元的$TWT、BTC、ETH

Trust Wallet事件的真相

---

第一步：發布了新的瀏覽器擴展更新

Trust Wallet瀏覽器擴展於12月24日發布了新版本。

• 更新看似例行。

• 沒有伴隨重大安全警告。

• 用戶通過正常的更新流程安裝了它。

此時，沒有任何跡象顯示可疑。

---

第二步：新增了代碼到擴展中

更新後，研究人員在擴展的文件中注意到一個名為4482.js的JavaScript文件出現了變化。

關鍵觀察：

• 新增的代碼不存在於早期版本中。

• 它引入了與用戶操作相關的網絡請求。

這很重要，因為瀏覽器錢包是非常敏感的環境；任何新的外發邏輯都具有高度風險。

---

第三步：代碼偽裝成“分析”

新增的邏輯看起來像是分析或遙測代碼。

具體：

• 它看起來像是常見分析SDK用於追蹤的邏輯。

• 並非每次都觸發。

• 只在特定條件下啟動。

這種設計使得在日常測試中更難被發現。

---

第四步：觸發條件——導入助記詞

社群反向工程推測，該邏輯在用戶導入助記詞到擴展時被觸發。

為何這很關鍵：

• 導入助記詞會讓錢包獲得完全控制權。

• 這是一個一次性、高價值的時刻。

• 任何惡意代碼只需執行一次即可。

只使用現有錢包的用戶可能沒有觸發此路徑。

---

第五步：錢包資料被外部傳送

當觸發條件出現時，該代碼據稱將資料傳送到一個外部端點：

metrics-trustwallet[.]com

引發警覺的原因：

• 該域名看起來很像是Trust Wallet的合法子域名。

• 它僅在幾天前註冊。

• 沒有公開的文檔記錄。

• 後來下線了。

至少，這證實了錢包擴展有意外的外發通信。

---

第六步：攻擊者立即行動

在導入助記詞不久後，用戶報告：

• 錢包在幾分鐘內被清空。

• 多個資產被迅速轉移。

• 不需要進一步的用戶操作。

鏈上行為顯示：

• 自動化的交易模式。

• 多個目的地址。

• 沒有明顯的釣魚授權流程。

這表明攻擊者已經擁有足夠的權限來簽署交易。

---

第七步：資金在多個地址間合併

被盜資產經由多個攻擊者控制的錢包轉移。

為何這很重要：

• 表示有協調或腳本化操作。

• 減少對單一地址的依賴。

• 與有組織的攻擊行為相符。

根據追蹤的地址估算，資金已轉移數百萬美元，雖然總額有所變動。

---

第八步：域名下線

在引起注意後：

• 可疑域名停止回應。

• 沒有立即公開說明。

• 截圖和快取證據變得至關重要。

這與攻擊者在曝光後摧毀基礎設施的行為一致。

---

第九步：官方稍後確認

Trust Wallet後來確認：

• 一次安全事件影響了特定版本的瀏覽器擴展。

• 行動裝置用戶未受影響。

• 用戶應升級或禁用擴展。

然而，並未立即提供完整的技術細節來解釋：

• 為何該域名存在。

• 助記詞是否被曝光。

• 這是內部、第三方還是外部問題。

這一缺口促使持續的猜測。

---

已確認的內容

• 瀏覽器擴展的更新引入了新的外發行為。

• 用戶在導入助記詞後不久就失去了資金。

• 事件局限於特定版本。

• Trust Wallet承認存在安全問題。

---

強烈懷疑的內容

• 供應鏈問題或惡意代碼注入。

• 助記詞或簽署能力被曝光。

• 分析邏輯被濫用或武器化。

---

仍未知的內容

• 這段代碼是否故意為惡意或被上游攻破。

• 有多少用戶受到影響。

• 是否有其他資料被竊取。

• 攻擊者的確切身份。

---

為何此事件重要

這不是典型的釣魚攻擊。

它突顯了：

• 瀏覽器擴展的危險性。

• 輕信更新的風險。

• 分析代碼可能被濫用的情況。

• 為何處理助記詞是錢包安全中最關鍵的時刻。

即使是短暫的漏洞，也可能造成嚴重後果。