TrustWallet黑客事件解析：从更新到钱包被盗，价值$16M 美元的$TWT、BTC、ETH

Trust Wallet事件的具体经过

第一步：发布了一次新的浏览器扩展更新

12月24日，Trust Wallet浏览器扩展发布了一个新版本。

• 更新看似例行。

• 没有伴随重大安全警告。

• 用户通过正常的更新流程安装了它。

此时，似乎没有任何可疑之处。

第二步：向扩展添加了新代码

更新后，研究人员在检查扩展文件时发现了一个名为4482.js的JavaScript文件发生了变化。

关键观察：

• 新代码未出现在早期版本中。

• 它引入了与用户操作相关的网络请求。

这很重要，因为浏览器钱包是非常敏感的环境；任何新的外发逻辑都存在高风险。

第三步：代码伪装成“分析”

新增的逻辑表现为分析或遥测代码。

具体表现：

• 它看起来像常用分析SDK的追踪逻辑。

• 并非每次都触发。

• 仅在特定条件下激活。

这种设计使得在随意测试时更难检测到。

第四步：触发条件——导入助记词

社区逆向工程表明，逻辑在用户导入助记词到扩展时被触发。

为何这很关键：

• 导入助记词意味着钱包拥有完全控制权。

• 这是一次性、高价值的关键时刻。

• 恶意代码只需行动一次。

仅使用现有钱包的用户可能没有触发此路径。

第五步：钱包数据被外部发送

当触发条件发生时，代码声称将数据发送到一个外部端点：

metrics-trustwallet[.]com

引发警觉的原因：

• 该域名看起来非常像Trust Wallet的合法子域名。

• 仅在几天前注册。

• 未公开文档说明。

• 后来下线了。

至少，这确认了钱包扩展存在意外的外发通信。

第六步：攻击者立即行动

导入助记词后不久，用户报告：

• 钱包在几分钟内被清空。

• 多个资产被迅速转移。

• 不需要用户进一步操作。

链上行为显示：

• 自动化的交易模式。

• 多个目标地址。

• 没有明显的钓鱼授权流程。

这表明攻击者已获得足够权限签署交易。

第七步：资金在多个地址间汇聚

被盗资产通过多个攻击者控制的钱包进行转移。

为何这很重要：

• 表明存在协调或脚本化操作。

• 减少对单一地址的依赖。

• 与有组织的攻击行为相符。

根据追踪的地址估算，转移金额达数百万美元，尽管总额有所不同。

第八步：域名失联

在关注度升高后：

• 可疑域名停止响应。

• 立即没有公开解释。

• 截图和缓存证据变得尤为重要。

这与攻击者在被曝光后销毁基础设施的行为一致。

第九步：官方随后确认

Trust Wallet后来确认：

• 一次安全事件影响了特定版本的浏览器扩展。

• 移动端用户未受影响。

• 用户应升级或禁用扩展。

然而，未立即提供完整的技术细节，解释：

• 域名存在的原因。

• 助记词是否被暴露。

• 这是内部、第三方还是外部问题。

这一空白引发了持续的猜测。

已确认的内容

• 浏览器扩展的更新引入了新的外发行为。

• 用户在导入助记词后不久丢失资金。

• 事件局限于特定版本。

• Trust Wallet承认存在安全问题。

强烈怀疑的内容

• 供应链问题或恶意代码注入。

• 助记词或签名能力被暴露。

• 分析逻辑被滥用或武器化。

仍不清楚的内容

• 代码是否故意为恶或被上游攻破。

• 受影响的用户数量。

• 是否有其他数据被窃取。

• 攻击者的确切归属。

为何此事件重要

这不是典型的钓鱼攻击。

它突显了：

• 浏览器扩展的危险性。

• 盲目信任更新的风险。

• 分析代码可能被滥用的可能性。

• 处理助记词是钱包安全中最关键的时刻。

即使是短暂的漏洞也可能带来严重后果。