Über 6 Millionen US-Dollar gestohlen: Trust Wallet-Quellcode wurde angegriffen – warum wurde die offizielle Version zur Hintertür für Hacker?

Originaltitel: „Trust Wallet Plugin-Version durch Angriff mit Verlusten von über 6 Millionen US-Dollar, offizieller Patch eilig veröffentlicht“

Originalautor: ChandlerZ, Foresight News

Am Morgen des 26. Dezember veröffentlichte Trust Wallet eine Sicherheitswarnung: Es wurde bestätigt, dass die Browser-Erweiterung Trust Wallet in Version 2.68 eine Sicherheitslücke aufweist. Nutzer der Version 2.68 sollten diese Erweiterung sofort deaktivieren und auf Version 2.69 aktualisieren. Bitte führen Sie das Upgrade über den offiziellen Chrome Web Store-Link durch.

Laut Überwachung durch PeckShield haben Hacker im Zuge der Ausnutzung der Trust Wallet-Sicherheitslücke bereits über 6 Millionen US-Dollar an Krypto-Vermögenswerten von den Opfern gestohlen.

Derzeit befinden sich etwa 2,8 Millionen US-Dollar der gestohlenen Gelder noch in den Wallets der Hacker (Bitcoin / EVM / Solana), während über 4 Millionen US-Dollar an Krypto-Vermögenswerten bereits auf zentralisierte Börsen transferiert wurden, darunter: etwa 3,3 Millionen US-Dollar zu ChangeNOW, etwa 340.000 US-Dollar zu FixedFloat und etwa 447.000 US-Dollar zu Kucoin.

Mit dem Anstieg der betroffenen Nutzer wurde auch eine Code-Auditierung der Trust Wallet Version 2.68 eingeleitet. Das Sicherheitsteam SlowMist stellte durch den Vergleich des Quellcodes der Versionen 2.68.0 (infizierte Version) und 2.69.0 (gefixte Version) fest, dass Hacker einen scheinbar legitimen Datenerfassungscode eingeschleust hatten, wodurch das offizielle Plugin zu einer Backdoor für den Diebstahl von Privatsphäre wurde.

Analyse: Geräte oder Code-Repositorys von Trust Wallet-Entwicklern könnten unter Kontrolle von Angreifern stehen

Laut Analyse des SlowMist-Sicherheitsteams war der Hauptträger des Angriffs die Browser-Erweiterung Trust Wallet Version 2.68.0. Im Vergleich zur gefixten Version 2.69.0 entdeckten die Sicherheitsexperten im alten Release einen besonders gut getarnten bösartigen Code. Siehe Abbildung.

Der Backdoor-Code fügte PostHog hinzu, um verschiedene private Informationen der Wallet-Nutzer (einschließlich Mnemonics) zu erfassen und an den Server des Angreifers api.metrics-trustwallet [.] com zu senden.

Basierend auf Codeänderungen und On-Chain-Aktivitäten hat SlowMist folgende geschätzte Zeitleiste für den Angriff erstellt:

· 8. Dezember: Der Angreifer beginnt mit den Vorbereitungen;

· 22. Dezember: Die mit der Backdoor versehene Version 2.68 wird erfolgreich veröffentlicht;

· 25. Dezember: Während der Weihnachtsferien beginnt der Angreifer, die gestohlenen Mnemonics zu nutzen, um Gelder zu transferieren, woraufhin der Vorfall öffentlich wird.

Außerdem analysierte SlowMist, dass der Angreifer offenbar sehr vertraut mit dem Quellcode der Trust Wallet-Erweiterung ist. Bemerkenswert ist, dass die aktuelle Fix-Version (2.69.0) zwar die bösartige Übertragung unterbindet, aber die PostHog JS-Bibliothek nicht entfernt hat.

Gleichzeitig erklärte der Chief Information Security Officer von SlowMist, 23pds, in den sozialen Medien: „Nach Analyse von SlowMist gibt es Grund zu der Annahme, dass Geräte oder Code-Repositorys der Trust Wallet-Entwickler möglicherweise unter Kontrolle von Angreifern stehen. Bitte trennen Sie umgehend die Internetverbindung und überprüfen Sie die Geräte der betreffenden Personen.“ Er betonte: „Nutzer der betroffenen Trust Wallet-Versionen sollten zuerst die Internetverbindung trennen und dann die Mnemonics exportieren, um Vermögenswerte zu transferieren. Andernfalls werden beim Online-Öffnen der Wallet die Vermögenswerte gestohlen. Wer ein Backup der Mnemonics hat, sollte zuerst die Vermögenswerte transferieren und dann die Wallet aktualisieren.“

Häufige Sicherheitsvorfälle bei Plugins

Er wies zudem darauf hin, dass der Angreifer offenbar sehr vertraut mit dem Quellcode der Trust Wallet-Erweiterung ist und PostHog JS zur Erfassung verschiedener Informationen der Wallet-Nutzer eingeschleust hat. Die aktuelle Fix-Version von Trust Wallet hat PostHog JS noch nicht entfernt.

Dass die offizielle Version von Trust Wallet zur Trojaner-Software wurde, erinnert den Markt an mehrere hochriskante Angriffe auf Hot-Wallet-Frontends in den vergangenen Jahren. Von Angriffsmethoden bis zu den Ursachen der Schwachstellen bieten diese Fälle wichtige Vergleichspunkte zum Verständnis des aktuellen Vorfalls.

· Wenn offizielle Kanäle nicht mehr sicher sind

Dem aktuellen Trust Wallet-Vorfall am ähnlichsten sind Angriffe auf die Software-Lieferkette und Distributionskanäle. In solchen Fällen haben die Nutzer keinen Fehler gemacht und wurden sogar Opfer, weil sie „offizielle Software“ heruntergeladen haben.

Ledger Connect Kit Poisoning Incident (Dezember 2023): Der Frontend-Code von Hardware-Wallet-Gigant Ledger wurde von Hackern durch Phishing kompromittiert, woraufhin ein bösartiges Update-Paket hochgeladen wurde. Dies führte dazu, dass die Frontends mehrerer führender dApps, darunter SushiSwap, kompromittiert wurden und gefälschte Verbindungsfenster anzeigten. Dieser Vorfall gilt als Lehrbuchbeispiel für einen „Supply-Chain-Angriff“ und beweist, dass selbst Unternehmen mit hervorragendem Sicherheitsruf im Bereich Web2-Distribution (wie NPM) anfällig für Single-Point-of-Failure sind.

Hola VPN und Mega Extension Hijacking (2018): Bereits 2018 wurde das Entwicklerkonto der Chrome-Erweiterung des bekannten VPN-Dienstes Hola gehackt. Die Hacker veröffentlichten ein „offizielles Update“ mit bösartigem Code, das speziell darauf abzielte, die privaten Schlüssel von MyEtherWallet-Nutzern zu überwachen und zu stehlen.

· Codefehler: Das Risiko der „offenen“ Mnemonics

Neben externen Vergiftungen können auch Implementierungsfehler bei der Verarbeitung sensibler Daten wie Mnemonics oder privaten Schlüsseln durch Wallets zu massiven Vermögensverlusten führen.

Slope Wallet Logging-System sammelt sensible Informationen (August 2022): Im Solana-Ökosystem kam es zu einem groß angelegten Diebstahl von Coins. Nachträgliche Untersuchungsberichte konzentrierten sich unter anderem auf die Slope Wallet, deren eine Version private Schlüssel oder Mnemonics an den Sentry-Dienst sendete (wobei es sich um einen von Slope privat bereitgestellten Sentry-Dienst handelte, nicht um die offiziellen Sentry-Schnittstellen und -Dienste). Sicherheitsfirmen analysierten jedoch auch, dass die Untersuchungen zur Slope Wallet bisher keine eindeutigen Beweise für die eigentliche Ursache des Vorfalls liefern konnten und noch viel technische Arbeit erforderlich ist, um die Ursache abschließend zu klären.

Trust Wallet Low-Entropy-Key-Generierungsfehler (offengelegt als CVE-2023-31290, Ausnutzung zurückverfolgbar auf 2022/2023): Die Trust Wallet-Browsererweiterung wurde wegen unzureichender Zufälligkeit kritisiert: Angreifer konnten die durch einen nur 32-Bit-Seed verursachte Enumerierbarkeit ausnutzen, um im betroffenen Versionsbereich effizient potenziell betroffene Wallet-Adressen zu identifizieren und so Gelder zu stehlen.

· Der Kampf zwischen „Original“ und „Fälschung“

Im Ökosystem der Erweiterungs-Wallets und Browser-Suchen gibt es seit langem gefälschte Plugins, gefälschte Download-Seiten, gefälschte Update-Popups und gefälschte Support-Nachrichten. Sobald Nutzer Software aus nicht-offiziellen Quellen installieren oder auf Phishing-Seiten Mnemonics/private Schlüssel eingeben, können ihre Vermögenswerte sofort gestohlen werden. Wenn selbst offizielle Versionen Risiken bergen, wird die Sicherheitsgrenze der Nutzer weiter eingeschränkt, und Betrüger nutzen das Chaos für weitere Angriffe.

Zum Zeitpunkt der Veröffentlichung hat Trust Wallet alle betroffenen Nutzer dringend aufgefordert, das Update schnellstmöglich durchzuführen. Doch angesichts der anhaltenden Bewegungen der gestohlenen Gelder auf der Blockchain ist die Nachwirkung dieses „Weihnachtsraubs“ offensichtlich noch nicht vorbei.

Ob Klartext-Logs bei Slope oder die bösartige Backdoor bei Trust Wallet – die Geschichte wiederholt sich auf erstaunliche Weise. Dies erinnert jeden Krypto-Nutzer erneut daran, keiner einzelnen Softwarelösung blind zu vertrauen. Regelmäßige Überprüfung von Berechtigungen, dezentrale Aufbewahrung von Vermögenswerten und Wachsamkeit gegenüber ungewöhnlichen Updates könnten die Überlebensregeln im dunklen Wald der Krypto-Welt sein.