اخبار

(تبلیغات)

برترین تبلیغات موبایلی

گوگل کروم یک وصله امنیتی حیاتی دریافت کرد، اما کیف پول ارز دیجیتال شما ممکن است هنوز در معرض خطر باشد

زنجیر

چارلز گیلمت، مدیر ارشد فناوری لجر، پس از وصله‌های امنیتی گوگل برای ۲۶ آسیب‌پذیری کروم، به کاربران ارزهای دیجیتال هشدار داد. در اینجا به مواردی که کاربران کیف پول مرورگر باید بدانند و اکنون انجام دهند، اشاره می‌کنیم.

Soumen Datta

مارس 23، 2026

تبلیغات موبایلی بومی ad1

(تبلیغات)

فهرست مندرجات

مدیر ارشد فناوری لجر واقعاً چه گفت؟آیا یک اکسپلویت کروم واقعاً می‌تواند کیف پول ارز دیجیتال شما را خالی کند؟این اولین باری نیست که کروم با مشکلات امنیتی مواجه می‌شودکاربران ارزهای دیجیتال باید همین الان چه کاری انجام دهند؟منابعپرسش و پاسخهای متداول

Ledger CTO Charles Guillemet است اصرار کاربران ارزهای دیجیتال بلافاصله پس از به‌روزرسانی گوگل کروم، آن را به‌روزرسانی کنند. منتشر شد یک وصله امنیتی که ۲۶ آسیب‌پذیری را برطرف می‌کند، از جمله ۴ آسیب‌پذیری با درجه بحرانی و ۲۲ آسیب‌پذیری با درجه شدت بالا. 

این نقص‌ها شامل خطاهای مدیریت حافظه هستند که می‌توانند به یک مهاجم غیرمجاز اجازه دهند تا از طریق یک صفحه وب دستکاری‌شده، کد مخرب را از راه دور اجرا کند.

مدیر ارشد فناوری لجر واقعاً چه گفت؟

گیلمت این هشدار را به صورت عمومی به اشتراک گذاشت و نکته‌ای مهم را اضافه کرد که فراتر از خود وصله کروم است. او گفت: «یادآوری خوبی است که نمی‌توانید به مرورگر یا رایانه خود برای اسرار ارزشمندتان اعتماد کنید.» این نظر مستقیماً خطاب به کاربران ارزهای دیجیتال است که برای فعالیت‌های روزانه خود به کیف پول‌ها و افزونه‌های مبتنی بر مرورگر متکی هستند.

آسیب‌پذیری‌های شناسایی‌شده در این چرخه‌ی وصله، در سه دسته‌ی کلاسیک از خطاهای مدیریت حافظه قرار می‌گیرند:

  • شرایط استفاده پس از آزادسازی، که در آن یک برنامه پس از انتشار، همچنان از حافظه استفاده می‌کند
  • سرریز بافر هیپ، جایی که داده‌ها فراتر از فضای حافظه اختصاص داده شده نوشته می‌شوند
  • دسترسی خارج از محدوده، که در آن کد، حافظه را خارج از محدوده مورد نظر خود می‌خواند یا می‌نویسد

هر یک از این موارد می‌توانند برای نوشتن بار داده در حافظه سیستم و اجرای کد از راه دور مورد سوءاستفاده قرار گیرند، اغلب بدون اینکه کاربر کاری جز بازدید از یک صفحه وب مخرب انجام دهد.

آیا یک اکسپلویت کروم واقعاً می‌تواند کیف پول ارز دیجیتال شما را خالی کند؟

ارز دیجیتال شما روی زنجیره ذخیره می‌شود، نه داخل خود مرورگر. با این حال، یک اکسپلویت مرورگر فعال نیازی ندارد که مستقیماً به بلاکچین برسد تا آسیب واقعی ایجاد کند. این اکسپلویت لایه رابط کیف پول را هدف قرار می‌دهد و اینجاست که خطر ملموس می‌شود.

کیف پول‌های مرورگر مانند MetaMask، Rabby و Phantom در درجه اول به عنوان افزونه‌های کروم عمل می‌کنند. اگر یک اکسپلویت در داخل مرورگر اجرا شود، مهاجم می‌تواند از چندین طریق با رابط کاربری کیف پول تعامل داشته باشد.

چگونه مهاجمان از حفره‌های امنیتی مرورگر علیه کاربران کیف پول استفاده می‌کنند

وقتی وارد محیط مرورگر می‌شوید، روش‌های حمله رایج عبارتند از:

  • دستورالعمل‌های کیف پول جعلی: پوشش‌هایی که از متامسک یا سایر صفحات تأیید کیف پول تقلید می‌کنند، از کاربران می‌خواهند که یک دارایی را «دوباره متصل» یا «دریافت» کنند. کلیک کردن روی این صفحات، تأیید تراکنشی را نشان می‌دهد که وجوه را به کیف پول مهاجم منتقل می‌کند.
  • مصوبات هزینه: این سوءاستفاده به جای سرقت فوری وجوه، درخواست امضای تأیید توکن را می‌دهد. این به قرارداد هوشمند مهاجم اجازه می‌دهد تا توکن‌ها را در هر زمانی در آینده منتقل کند.
  • ربودن جلسه: اگر این اکسپلویت کوکی‌های جلسه را از یک تب تبادل باز دریافت کند، می‌تواند تا پایان جلسه به عنوان کاربر عمل کند و بدون تعامل بیشتر، دارایی‌ها را جابجا کند.
  • سوء استفاده از کلیپ بورد و ضربه زدن به کلید: برخی از سوءاستفاده‌ها محتوای کلیپ‌بورد را رصد می‌کنند تا آدرس‌های کیف پول یا رمزهای عبور کپی‌شده را رهگیری کنند.

این یک سناریوی تئوری نیست. در دسامبر ۲۰۲۵، کیف پول تراست تایید شده یک حادثه امنیتی مرتبط با افزونه کروم نسخه ۲.۶۸ که در آن کد مخرب از طریق کیف پول‌های ذخیره شده تکرار می‌شد، درخواست‌های عبارات یادآوری را فعال می‌کرد، آنها را با استفاده از رمز عبور خود کاربر رمزگشایی می‌کرد و به سرور تحت کنترل مهاجم ارسال می‌کرد. تقریباً ۷ میلیون دلار، شامل حدود ۳ میلیون دلار بیت‌کوین و بیش از ۳ میلیون دلار اتریوم، از بین رفت. 

پروژه‌های نویدبخش ...

(تبلیغات)

پلی‌مارکت | بزرگترین بازار پیش‌بینی جهانCloudbetASXپلی‌مارکت | بزرگترین بازار پیش‌بینی جهانCloudbetASXپلی‌مارکت | بزرگترین بازار پیش‌بینی جهانCloudbetASX
ادامه مقاله...

محقق بلاکچین، ZachXBT، صدها قربانی را تأیید کرد که وجوه سرقت شده از طریق ChangeNOW، FixedFloat و KuCoin برای پولشویی هدایت شده است.

این اولین باری نیست که کروم با مشکلات امنیتی مواجه می‌شود

در سپتامبر ۲۰۲۲، گوگل تکه تکه شده یک آسیب‌پذیری روز صفر کروم با شناسه CVE-2025-10585، یک اشکال نوع-گیجی در V8، موتور جاوا اسکریپت کروم، ردیابی می‌شود. آسیب‌پذیری نوع-گیجی به این معنی است که مرورگر می‌تواند اشیاء را در حافظه به درستی مدیریت نکند و مسیری را برای اجرای کد باز کند. گوگل در آن زمان تأیید کرد که این نقص قبل از انتشار وصله، به طور فعال مورد سوءاستفاده قرار می‌گرفته است.

آن چرخه‌ی وصله‌ها از همان الگوی فعلی پیروی می‌کرد: یک نقص در سطح حافظه، بهره‌برداری فعال در سطح اینترنت، و یک رفع سریع برای کانال پایدار.

اکسپلویت «DarkSword» در iOS، جبهه دومی را اضافه می‌کند

به طور جداگانه، Binance صادر شده یک هشدار امنیتی برای کاربران iOS در همان بازه زمانی. اپل یک زنجیره آسیب‌پذیری بحرانی به نام "DarkSword" را شناسایی کرد که نسخه‌های iOS 18.4 تا 18.7 را تحت تأثیر قرار می‌دهد. 

برخلاف حملات مبتنی بر مرورگر، DarkSword یک آسیب‌پذیری در سطح سیستم است که می‌تواند به طور خودکار و بدون هیچ گونه تعامل کاربر هنگام بازدید از یک وب‌سایت آلوده فعال شود. این آسیب‌پذیری می‌تواند داده‌های حساس از جمله اطلاعات کیف پول ارز دیجیتال را استخراج کرده و پس از اجرا، ردپای خود را پاک کند و تشخیص آن را پس از وقوع دشوار سازد.

کاربران ارزهای دیجیتال باید همین الان چه کاری انجام دهند؟

آسیب‌پذیری‌های مرورگر چیز جدیدی نیستند، اما عواقب آن برای کاربران ارزهای دیجیتال مستقیم‌تر از یک کاربر معمولی اینترنت است. یک نشست مرورگر به خطر افتاده می‌تواند منجر به تراکنش‌های امضا شده، سرقت تاییدیه‌ها و خالی شدن کیف پول‌ها شود، حتی زمانی که دارایی‌های اساسی به طور ایمن روی زنجیره قرار دارند.

مراحل فوری ساده هستند:

  • گوگل کروم را از طریق تنظیمات مرورگر خود به آخرین نسخه به‌روزرسانی کنید.
  • بررسی کنید که همه افزونه‌های کیف پول، از جمله MetaMask، Rabby و Phantom، جدیدترین نسخه‌های خود را اجرا می‌کنند.
  • از تعامل با درخواست‌های غیرمنتظره کیف پول، درخواست‌های اتصال مجدد یا اعلان‌های مربوط به مطالبه دارایی خودداری کنید.
  • کاربران iOS باید سیستم خود را به آخرین نسخه به‌روزرسانی کنند تا زنجیره‌ی اکسپلویت DarkSword را برطرف کنند.

نکته اصلی گیلمت صرف نظر از اینکه کدام آسیب‌پذیری این هفته تیتر خبرها را به خود اختصاص داده است، پابرجاست. مرورگر محیطی خصمانه برای اسرار مالی است. برای کاربرانی که دارایی‌های معنادار کریپتو را صرفاً از طریق افزونه‌های مرورگر مدیریت می‌کنند، این محاسبه ریسک ارزش بررسی مجدد را دارد.

منابع

  1. Ledger CTO Charles Guillemet در X: ارسال در ۱ مارس

  2. کیف پول تراست روی ایکس: ارسال شده در دسامبر 26

  3. گزارش از سایبر پرسبه‌روزرسانی گوگل کروم ۲۶ نقص امنیتی، از جمله آسیب‌پذیری‌های RCE را برطرف می‌کند

  4. گزارش از هکر نیوزگوگل آسیب‌پذیری روز صفرم کروم با شناسه CVE-2025-10585 را وصله کرد، زیرا بهره‌برداری فعال V8 میلیون‌ها نفر را تهدید می‌کند.

پرسش و پاسخهای متداول

آیا به‌روزرسانی کروم از افزونه‌های کیف پول ارز دیجیتال من محافظت می‌کند؟

به‌روزرسانی کروم، آسیب‌پذیری‌های اساسی مرورگر را برطرف می‌کند و سطح حمله‌ای را که این سوءاستفاده‌ها به آن متکی هستند، از بین می‌برد. با این حال، خود افزونه‌ها می‌توانند خطرات جداگانه‌ای داشته باشند، همانطور که حادثه کیف پول تراست در دسامبر ۲۰۲۵ نشان داد. به‌روزرسانی مداوم کروم و افزونه‌های جداگانه ضروری است.

آسیب‌پذیری استفاده پس از آزادسازی در مرورگر چیست؟

این یک خطای حافظه است و زمانی رخ می‌دهد که یک برنامه به ارجاع به حافظه‌ای که قبلاً آزاد کرده است، ادامه می‌دهد. مهاجمان می‌توانند از این موضوع برای نوشتن داده‌های کنترل‌شده در فضای حافظه آزاد شده و اجرای کد سوءاستفاده کنند، اغلب بدون اینکه کاربر آگاهانه کاری اشتباه انجام دهد.

آیا کاربران کیف پول سخت‌افزاری باید نگران این آسیب‌پذیری‌های کروم باشند؟

کیف پول‌های سخت‌افزاری مانند لجر، کلیدهای خصوصی را به صورت آفلاین ذخیره می‌کنند و برای تراکنش‌ها نیاز به تأیید فیزیکی دارند. یک حفره امنیتی مرورگر نمی‌تواند کلیدها را مستقیماً از یک دستگاه سخت‌افزاری استخراج کند. با این حال، پیام‌های جعلی کیف پول و درخواست‌های تراکنش مخرب همچنان می‌توانند در رابط مرورگر ظاهر شوند، به همین دلیل هشدار گیلمت حتی برای کاربران کیف پول سخت‌افزاری که از طریق مرورگر متصل می‌شوند نیز صدق می‌کند.

رفع مسئولیت

سلب مسئولیت: دیدگاه‌های بیان شده در این مقاله لزوماً بیانگر دیدگاه‌های BSCN نیست. اطلاعات ارائه شده در این مقاله صرفاً برای اهداف آموزشی و سرگرمی است و نباید به عنوان مشاوره سرمایه‌گذاری یا هر نوع توصیه‌ای تفسیر شود. BSCN هیچ مسئولیتی در قبال تصمیمات سرمایه‌گذاری اتخاذ شده بر اساس اطلاعات ارائه شده در این مقاله بر عهده نمی‌گیرد. اگر معتقدید که این مقاله باید اصلاح شود، لطفاً از طریق ایمیل با تیم BSCN تماس بگیرید. [ایمیل محافظت شده].

نویسنده

Soumen Datta

سومن از سال ۲۰۲۰ محقق حوزه کریپتو بوده و دارای مدرک کارشناسی ارشد فیزیک است. نوشته‌ها و تحقیقات او توسط نشریاتی مانند CryptoSlate و DailyCoin و همچنین BSCN منتشر شده است. حوزه‌های تمرکز او شامل بیت‌کوین، DeFi و آلت‌کوین‌های با پتانسیل بالا مانند اتریوم، سولانا، XRP و Chainlink است. او عمق تحلیلی را با وضوح روزنامه‌نگاری ترکیب می‌کند تا بینش‌هایی را برای خوانندگان تازه‌کار و باتجربه حوزه کریپتو ارائه دهد.

(تبلیغات)

تبلیغات موبایلی بومی ad2

آخرین اخبار

۹ ساعت : ۳ دقیقه پیش

به‌روزرسانی قانون شفافیت: دوباره به تعویق افتاد؟!

۹ ساعت : ۳ دقیقه پیش

JSCC ژاپن برای وثیقه توکنیزه شده، به شبکه کانتون روی می‌آورد.

۹ ساعت : ۳ دقیقه پیش

شبکه سوئی از طریق ادغام جدید RedotPay به پرداخت‌های روزمره گسترش می‌یابد

۹ ساعت : ۳ دقیقه پیش

همکاری چین‌لینک و اوپن‌استس برای تقویت زیرساخت دارایی‌های توکنیزه‌شده سازمانی

۹ ساعت : ۳ دقیقه پیش

ریپل از برنامه خود برای مقاوم‌سازی دفتر کل XRP در برابر کوانتوم تا سال ۲۰۲۸ پرده برداشت

آوریل 20، 2026

تعداد کاربران ثبت‌شده‌ی Aster به ۱۵ میلیون نفر رسید

آوریل 20، 2026

شبکه کسپا با نزدیک شدن به توکاتا به تراکنش‌های ۲ میلیارد دلاری نزدیک می‌شود

آوریل 20، 2026

سوپرا، سیستم عامل SupraOS را با کنترل عامل هوش مصنوعی خود-میزبان عرضه می‌کند

(تبلیغات)

تبلیغ جانبی1

آخرین اخبار رمزنگاری

از آخرین اخبار و رویدادهای کریپتو مطلع شوید

مشاهده همه موارددرست

به روزنامه ما بپیوندید

برای دریافت بهترین آموزش‌ها و جدیدترین اخبار وب ۳ ثبت نام کنید.

در اینجا مشترک شوید!
BSCN

BSCN

فید RSS BSCN

BSCN مقصد مورد علاقه شما برای همه چیز در مورد کریپتو و بلاکچین است. آخرین اخبار ارزهای دیجیتال، تحلیل و تحقیقات بازار را کشف کنید، که شامل بیت کوین، اتریوم، آلت کوین ها، میم کوین ها و هر چیز دیگری در این بین می شود.

اخبار

بیت کوینEthereumسولاناBNBشبکه PIآلتو کینسکه های خاطره ای

درباره ما:

تماس با مادربارۀ ماسیاست حفظ حریم خصوصیشرایط استفاده از خدمات

© ۲۰۲۵ BSCN. تمامی حقوق محفوظ است.

(تبلیغات)

بنر چسبنده
گوگل کروم یک وصله امنیتی حیاتی دریافت کرد، اما کیف پول ارز دیجیتال شما ممکن است هنوز در معرض خطر باشد