Trust Wallet 事件中究竟发生了什么
步骤 1:发布新的浏览器扩展更新
Trust Wallet 浏览器扩展的新更新于 12 月 24 日发布。
-
该更新看似常规。
-
没有附带重大安全警告。
-
用户通过常规更新流程安装了它。
在这一点上,没有任何可疑之处。
步骤 2:扩展中添加了新代码
更新后,研究人员在查看扩展文件时注意到一个名为 4482.js 的 JavaScript 文件发生了变化。
关键观察:
这很重要,因为浏览器钱包是非常敏感的环境;任何新的对外逻辑都会带来高风险。
步骤 3:代码伪装成"分析"
添加的逻辑看起来像是分析或遥测代码。
具体来说:
-
它看起来像常见分析 SDK 使用的跟踪逻辑。
-
它并非一直触发。
-
它仅在特定条件下激活。
这种设计使得在常规测试中更难检测到它。
步骤 4:触发条件 — 导入助记词
社区逆向工程表明,当用户将助记词导入扩展时,该逻辑会被触发。
为什么这很关键:
-
导入助记词使钱包获得完全控制权。
-
这是一次性的高价值时刻。
-
任何恶意代码只需执行一次。
仅使用现有钱包的用户可能未触发此路径。
步骤 5:钱包数据被发送到外部
当触发条件发生时,代码据称将数据发送到外部端点:
metrics-trustwallet[.]com
引起警觉的是:
-
该域名看起来很像合法的 Trust Wallet 子域名。
-
它仅在几天前才注册。
-
它没有公开记录。
-
它后来下线了。
至少,这证实了钱包扩展存在意外的对外通信。
步骤 6:攻击者立即采取行动
助记词导入后不久,用户报告:
-
钱包在几分钟内被清空。
-
多个资产快速转移。
-
无需进一步的用户交互。
链上行为显示:
-
自动化交易模式。
-
多个目标地址。
-
没有明显的钓鱼批准流程。
这表明攻击者已经拥有足够的访问权限来签署交易。
步骤 7:资金在多个地址间合并
被盗资产通过几个攻击者控制的钱包转移。
为什么这很重要:
-
这表明存在协调或脚本化操作。
-
它减少了对单一地址的依赖。
-
它符合有组织漏洞利用中看到的行为。
基于跟踪地址的估计显示转移了数百万美元,尽管总额各不相同。
步骤 8:域名消失
在关注度增加后:
-
可疑域名停止响应。
-
没有立即跟进公开解释。
-
截图和缓存证据变得至关重要。
这与攻击者在曝光后摧毁基础设施的行为一致。
步骤 9:稍后的官方确认
Trust Wallet 后来确认:
-
安全事件影响了浏览器扩展的特定版本。
-
移动用户未受影响。
-
用户应升级或禁用该扩展。
然而,并未立即提供完整的技术细节来解释:
-
为什么该域名存在。
-
助记词是否被暴露。
-
这是内部、第三方还是外部问题。
这一空白助长了持续的猜测。
已确认的情况
-
浏览器扩展更新引入了新的对外行为。
-
用户在导入助记词后不久损失了资金。
-
该事件仅限于特定版本。
-
Trust Wallet 承认了安全问题。
强烈怀疑的情况
-
供应链问题或恶意代码注入。
-
助记词或签名能力被暴露。
-
分析逻辑被滥用或武器化。
仍然未知的情况
-
代码是否是故意恶意的或在上游被破坏。
-
有多少用户受到影响。
-
是否有任何其他数据被窃取。
-
攻击者的确切归属。
为什么这个事件很重要
这不是典型的钓鱼。
它突显了:
-
浏览器扩展的危险性。
-
盲目信任更新的风险。
-
分析代码如何被滥用。
-
为什么处理助记词是钱包安全中最关键的时刻。
即使是短暂的漏洞也可能产生严重后果。
来源: https://www.livebitcoinnews.com/trustwallet-hack-explained-from-update-to-wallet-drains-worth-16m-in-twt-btc-eth/
