Más de 6 millones de dólares robados: el código fuente de Trust Wallet fue atacado, ¿por qué la versión oficial se convirtió en una puerta trasera para hackers?

Título original: "Trust Wallet Plugin Edition sufre ataque con pérdidas superiores a 6 millones de dólares, la empresa lanza parche de emergencia"

Autor original: ChandlerZ, Foresight News

En la mañana del 26 de diciembre, Trust Wallet emitió una alerta de seguridad confirmando que la versión 2.68 de su extensión para navegador presentaba una vulnerabilidad de seguridad. Los usuarios de la versión 2.68 deben desactivar inmediatamente la extensión y actualizar a la versión 2.69, utilizando el enlace oficial de Chrome Web Store para realizar la actualización.

Según el monitoreo de PeckShield, los hackers que explotaron la vulnerabilidad de Trust Wallet ya han robado más de 6 millones de dólares en criptoactivos de las víctimas.

Actualmente, aproximadamente 2.8 millones de dólares de los fondos robados permanecen en la billetera del hacker (Bitcoin / EVM / Solana), mientras que más de 4 millones de dólares en criptoactivos ya han sido transferidos a plataformas de intercambio centralizadas, incluyendo: alrededor de 3.3 millones de dólares a ChangeNOW, aproximadamente 340 mil dólares a FixedFloat y cerca de 447 mil dólares a Kucoin.

Con el aumento de usuarios afectados, se inició de inmediato una auditoría de código para la versión 2.68 de Trust Wallet. El equipo de análisis de seguridad SlowMist, al comparar el código fuente de la versión 2.68.0 (infectada) con la 2.69.0 (corregida), descubrió que los hackers habían insertado un código de recopilación de datos aparentemente legítimo, convirtiendo el plugin oficial en una puerta trasera para el robo de privacidad.

Análisis: Dispositivos de desarrolladores o repositorios de código de Trust Wallet podrían estar bajo control de los atacantes

Según el análisis del equipo de seguridad de SlowMist, el vector principal de este ataque fue confirmado como la versión 2.68.0 de la extensión de navegador de Trust Wallet. Al comparar con la versión corregida 2.69.0, los expertos de seguridad encontraron un fragmento de código malicioso altamente disfrazado en la versión anterior. Véase la imagen.

El código de la puerta trasera añadió PostHog para recolectar todo tipo de información privada de los usuarios de la billetera (incluyendo frases semilla) y enviarla al servidor del atacante api.metrics-trustwallet [.] com.

Basándose en los cambios de código y la actividad on-chain, SlowMist presentó la siguiente línea de tiempo estimada del ataque:

· 8 de diciembre: El atacante comienza los preparativos relacionados;

· 22 de diciembre: Se lanza con éxito la versión 2.68 con la puerta trasera insertada;

· 25 de diciembre: Aprovechando las vacaciones de Navidad, el atacante comienza a transferir fondos utilizando las frases semilla robadas, y el incidente sale a la luz.

Además, el análisis de SlowMist indica que el atacante parece estar muy familiarizado con el código fuente de la extensión de Trust Wallet. Cabe destacar que la versión corregida actual (2.69.0) corta la transmisión maliciosa, pero no elimina la librería PostHog JS.

Al mismo tiempo, el Director de Seguridad de la Información de SlowMist, 23pds, publicó en redes sociales: "Tras el análisis de SlowMist, hay razones para creer que los dispositivos de los desarrolladores o los repositorios de código relacionados con Trust Wallet podrían estar bajo control de los atacantes. Por favor, desconecten de la red y revisen los dispositivos de los involucrados a tiempo." Señaló: "Los usuarios afectados por la versión comprometida de Trust Wallet deben desconectarse de la red antes de exportar la frase semilla y transferir los activos. De lo contrario, si abren la billetera en línea, los fondos serán robados. Aquellos con copia de seguridad de la frase semilla deben transferir los activos primero y luego actualizar la billetera."

Incidentes de seguridad en extensiones son frecuentes

También señaló que el atacante parece muy familiarizado con el código fuente de la extensión de Trust Wallet, insertando PostHog JS para recolectar todo tipo de información de la billetera del usuario. Actualmente, la versión corregida de Trust Wallet no ha eliminado PostHog JS.

La conversión de la versión oficial de Trust Wallet en un troyano recuerda al mercado varios ataques de alto riesgo a frontends de hot wallets en los últimos años. Desde los métodos de ataque hasta las causas de las vulnerabilidades, estos casos ofrecen referencias importantes para entender el presente incidente.

· Cuando los canales oficiales dejan de ser seguros

El incidente de Trust Wallet es muy similar a los ataques a la cadena de suministro de software y canales de distribución. En estos casos, los usuarios no cometen errores y, de hecho, resultan perjudicados por descargar "software legítimo".

Incidente de contaminación de Ledger Connect Kit (diciembre de 2023): El gigante de las hardware wallets, Ledger, sufrió un ataque de phishing que permitió a los hackers obtener acceso al repositorio de código frontend y subir un paquete de actualización malicioso. Esto contaminó el frontend de varias dApps líderes, incluyendo SushiSwap, mostrando ventanas de conexión falsas. Este incidente es considerado un caso de libro de texto de "ataque a la cadena de suministro", demostrando que incluso empresas con excelente reputación en seguridad pueden tener puntos únicos de falla en sus canales de distribución Web2 (como NPM).

Secuestro de extensiones Hola VPN y Mega (2018): Ya en 2018, la cuenta de desarrollador de la extensión de Chrome de la conocida VPN Hola fue hackeada. El atacante lanzó una "actualización oficial" con código malicioso, diseñada para monitorear y robar las claves privadas de los usuarios de MyEtherWallet.

· Defectos de código: el riesgo de frases semilla "expuestas"

Además de la contaminación externa, los defectos en la implementación del manejo de frases semilla y claves privadas en las billeteras también pueden causar pérdidas masivas de activos.

Controversia por la recolección de información sensible en el sistema de logs de Slope Wallet (agosto de 2022): El ecosistema de Solana sufrió un gran robo de criptomonedas, y los informes posteriores señalaron a Slope Wallet, cuya versión enviaba claves privadas o frases semilla al servicio Sentry (un servicio privado de Sentry implementado por el equipo de Slope, no la interfaz ni el servicio oficial de Sentry). Sin embargo, empresas de seguridad también señalaron que, tras investigar la aplicación de Slope Wallet, aún no se puede probar que la causa raíz del incidente fuera Slope Wallet, ya que se requiere mucho trabajo técnico y más pruebas para explicar el origen del incidente.

Vulnerabilidad de generación de claves de baja entropía en Trust Wallet (divulgada como CVE-2023-31290, explotación rastreable a 2022/2023): Se reveló que la extensión de navegador de Trust Wallet tenía un problema de aleatoriedad insuficiente: los atacantes podían aprovechar la enumerabilidad de una semilla de solo 32 bits para identificar y derivar eficientemente las direcciones de billeteras potencialmente afectadas en un rango de versiones específico, robando así fondos.

· La lucha entre lo legítimo y lo falso

El ecosistema de extensiones de billeteras y búsquedas en navegadores ha estado plagado durante mucho tiempo de plugins falsos, páginas de descarga falsas, ventanas emergentes de actualización falsas y mensajes privados de soporte falsos. Si el usuario instala desde canales no oficiales o ingresa su frase semilla/clave privada en una página de phishing, puede perder todos sus activos en un instante. Cuando incluso la versión oficial puede presentar riesgos, la frontera de seguridad del usuario se reduce aún más, y los fraudes secundarios suelen aumentar en medio del caos.

Al momento de la publicación, Trust Wallet ha instado a todos los usuarios afectados a actualizar la versión lo antes posible. Sin embargo, con el movimiento continuo de fondos robados en la blockchain, las secuelas de este "asalto navideño" claramente no han terminado.

Ya sea por los logs en texto plano de Slope o la puerta trasera maliciosa de Trust Wallet, la historia siempre parece repetirse. Esto recuerda a cada usuario de criptomonedas que no debe confiar ciegamente en ningún software individual. Revisar regularmente las autorizaciones, diversificar el almacenamiento de activos y mantenerse alerta ante actualizaciones de versiones inusuales pueden ser las reglas de supervivencia para atravesar la oscura selva de las criptomonedas.