هک افزونه‌ی کیف پول تراست ۷ میلیون دلاری: هر آنچه باید بدانید

اعتماد کیف پول تایید شده که یک به‌روزرسانی مخرب در افزونه رسمی مرورگر کروم منجر به سرقت حدود ۷ میلیون دلار از سرمایه کاربران شده است. این نقض امنیتی تنها یک نسخه از افزونه، نسخه ۲.۶۸، را تحت تأثیر قرار داده و شامل سرقت عبارات بازیابی کیف پول از طریق کد مخرب جاسازی شده توسط مهاجمان بوده است. طبق گزارش‌ها، کاربران تلفن همراه و سایر نسخه‌های مرورگر تحت تأثیر قرار نگرفته‌اند.

چه اتفاقی در هک افزونه کیف پول تراست افتاد؟

این حادثه در ۲۴ دسامبر ۲۰۲۵ آغاز شد، زمانی که Trust Wallet نسخه ۲.۶۸.۰ افزونه کروم خود را منتشر کرد. در ابتدا، کاربران گزارش‌های پراکنده‌ای از ضرر و زیان ارائه دادند. کیف پول‌ها اندکی پس از دسترسی یا وارد کردن از طریق افزونه، خالی شدند. آنچه که به نظر موارد جداگانه می‌رسید، به سرعت به یک مشکل گسترده‌تر اشاره کرد.

در روز کریسمس، محقق درون زنجیره‌ای، ZachXBT صادر شده یک هشدار عمومی در حالی که وجوه سرقت شده هنوز در حال انتقال به زنجیره بودند. او تخلیه کیف پول را مستقیماً به به‌روزرسانی نسخه ۲.۶۸ مرتبط دانست. تجزیه و تحلیل او به اثبات این موضوع کمک کرد که این مشکل خطای کاربر یا فیشینگ نبوده، بلکه یک افزونه مرورگر آلوده بوده است.

تا ۲۶ دسامبر، Trust Wallet این نقض امنیتی را تأیید کرد. این شرکت اظهار داشت که فقط نسخه ۲.۶۸ تحت تأثیر قرار گرفته و از کاربران خواست که فوراً به نسخه ۲.۶۹ ارتقا دهند. طبق فهرست فروشگاه وب کروم، این افزونه کروم حدود یک میلیون کاربر دارد.

تراست والت بعداً تأیید کرد که تقریباً ۷ میلیون دلار دارایی دیجیتال از چندین بلاکچین به سرقت رفته است.

کدام کاربران تحت تأثیر قرار گرفتند؟

فقط کاربرانی که قبل از ۲۶ دسامبر ساعت ۱۱:۰۰ صبح به وقت جهانی (UTC)، افزونه کروم Trust Wallet نسخه ۲.۶۸ را نصب کرده یا وارد آن شده بودند، در معرض خطر بودند.

طبق گفته‌ی محققان امنیتی و Trust Wallet:

• کاربران برنامه‌های تلفن همراه تحت تأثیر قرار نگرفتند
• سایر نسخه‌های افزونه مرورگر تحت تأثیر قرار نگرفتند
• کیف پول‌هایی که از طریق نسخه ۲.۶۸ قابل دسترسی هستند، می‌توانند به طور کامل در معرض خطر قرار گیرند.

در بسیاری از موارد، کیف پول‌ها ظرف چند دقیقه پس از باز کردن قفل افزونه یا وارد کردن عبارت بازیابی، خالی شدند. صدها کیف پول از جمله آدرس‌های بیت‌کوین، اتریوم و سولانا تحت تأثیر قرار گرفتند.

ایوین چن، مدیرعامل تراست والت، تأیید کرد کاربرانی که در طول پنجره‌ی آسیب‌دیده وارد سیستم شده‌اند، باید فرض کنند که کیف پول‌هایشان در معرض خطر قرار گرفته و کیف پول‌های جدیدی ایجاد کنند.

کد مخرب چگونه کار می‌کرد؟

طبق گفته شرکت امنیتی بلاک چین slowmistاین حمله توسط یک کتابخانه شخص ثالث مخرب ایجاد نشده است. در عوض، مهاجم مستقیماً کد افزونه Trust Wallet را تغییر داده است. منطق مخرب در مؤلفه تحلیلی افزونه جاسازی شده است.

پروژه‌های امیدبخش را کشف کنید...

پروژه‌های نویدبخش ...

(تبلیغات)

ادامه مقاله...

نحوه کار به این صورت است:

• این کد در تمام کیف پول‌های ذخیره شده در افزونه تکرار شد.
• این باعث ایجاد یک درخواست عبارت یادآور برای هر کیف پول شد.
• وقتی کاربران کیف پول را باز می‌کردند، عبارت رمز شده‌ی Seed رمزگشایی می‌شد.
• رمز عبور رمزگشایی شده به سرور تحت کنترل مهاجم ارسال شد.

داده‌ها به api.metrics-trustwallet[.]com منتقل شدند. این دامنه در ۸ دسامبر ۲۰۲۵ ثبت شده است. درخواست‌ها به سرور از ۲۱ دسامبر، چند روز قبل از انتشار به‌روزرسانی مخرب، آغاز شد.

مهاجم از یک کتابخانه تحلیلی متن‌باز قانونی به نام posthog-js به عنوان پوشش استفاده کرد. به جای ارسال داده‌ها به نقطه پایانی تحلیلی صحیح، ترافیک به سرور مهاجم هدایت شد.

SlowMist اظهار داشت که این یک نفوذ داخلی در کدبیس بوده است، نه یک وابستگی مسموم.

افزونه‌ی آسیب‌پذیر چگونه منتشر شد؟

تحقیقات داخلی Trust Wallet یک نقص اساسی در فرآیند انتشار آن را نشان داد. به گفته مدیرعامل، Eowyn Chen، از یک کلید API فروشگاه وب Chrome که به بیرون درز کرده بود، برای انتشار نسخه مخرب استفاده شده است.

افزونه‌ی هک‌شده در تاریخ ۲۴ دسامبر ساعت ۱۲:۳۲ بعد از ظهر به وقت جهانی آپلود شده است. این افزونه از بررسی‌های داخلی معمول Trust Wallet عبور کرده است.

این نشان می‌دهد که مهاجم مستقیماً از کاربران سوءاستفاده نکرده است. در عوض، آنها از زیرساخت‌های توزیع سوءاستفاده کرده‌اند. تشخیص حملات زنجیره تأمین مانند این دشوارتر است زیرا نرم‌افزار رسمی و قابل اعتماد به نظر می‌رسد.

چقدر دزدیده شد و پول‌ها کجا رفتند؟

تراست والت و محققان مستقل، کل ضرر را حدود ۷ میلیون دلار تخمین زده‌اند.

جزئیات دارایی‌های مسروقه شناخته شده شامل موارد زیر است:

• حدود ۳ میلیون دلار در بیت کوین
• بیش از 3 میلیون دلار در Ethereum
• مقادیر کمتر در سولانا و سایر دارایی ها

مطابق با پک شیلد و ZachXBT، وجوه سرقت شده به سرعت پولشویی شدند.

حرکات کلیدی عبارتند از:

• حدود ۳.۳ میلیون دلار به ChangeNOW ارسال شد
• حدود ۳۴۰،۰۰۰ دلار به FixedFloat ارسال شد
• تقریباً ۴۴۷۰۰۰ دلار به KuCoin ارسال شد

بیش از ۴ میلیون دلار از طریق صرافی‌های متمرکز منتقل شد. طبق آخرین به‌روزرسانی، حدود ۲.۸ میلیون دلار در کیف پول‌های تحت کنترل مهاجم باقی مانده است.

این الگو، موارد نفوذ به کیف پول‌های دیگر را نیز منعکس می‌کند، که در آن‌ها مهاجمان از سرویس‌های مبادله فوری و پل‌ها برای کاهش قابلیت ردیابی استفاده می‌کنند.

طرح پاسخگویی و جبران خسارت کیف پول تراست

کیف پول تراست (Trust Wallet) یک راه حل سریع ارائه داد. نسخه ۲.۶۹ در ۲۵ دسامبر برای حذف کد مخرب منتشر شد. از کاربران خواسته شد که فوراً نسخه ۲.۶۸ را غیرفعال کنند.

این شرکت همچنین یک برنامه رسمی جبران خسارت راه‌اندازی کرد.

کاربران آسیب‌دیده می‌توانند از طریق ... درخواست‌های خود را ارسال کنند. فرم پشتیبانی رسمی در وب‌سایت Trust Walletاین فرآیند مستلزم موارد زیر است:

• آدرس ایمیل
• کشور محل اقامت
• آدرس‌های کیف پول لو رفته
• مهاجم آدرس‌ها را دریافت می‌کند
• هش‌های تراکنش مربوطه

کیف پول تراست اظهار داشت که هر ادعا به صورت جداگانه تأیید خواهد شد.

این شرکت اعلام کرد: «ما شبانه‌روز در تلاشیم تا جزئیات فرآیند جبران خسارت را نهایی کنیم و هر مورد نیاز به تأیید دقیق دارد تا از صحت و امنیت آن اطمینان حاصل شود.»

چانگ‌پنگ ژائو، یکی از بنیانگذاران و مدیرعامل سابق بایننس، که در سال ۲۰۱۸ کیف پول تراست را خریداری کرد، تأیید کرد که ضرر و زیان‌ها پوشش داده خواهد شد.

چرا این هک برای امنیت کیف پول اهمیت دارد؟

این حادثه یک ریسک تکرارشونده در حوزه ارزهای دیجیتال را برجسته می‌کند. حتی کیف پول‌های غیرکاستودی نیز به کانال‌های توزیع نرم‌افزاری وابسته هستند. وقتی این کانال‌ها از کار بیفتند، کاربران ممکن است همه چیز خود را از دست بدهند.

هک کیف پول تراست از الگوی گسترده‌تری پیروی می‌کند که در سراسر صنعت دیده می‌شود. اوایل امسال، کوین‌بیس فاش کرد که پس از یک نقض امنیتی جداگانه مرتبط با کارمندان پشتیبانی رشوه‌خوار در هند، بیش از ۴۰۰ میلیون دلار را بازپرداخت خواهد کرد.

روش‌های حمله متفاوت، نتیجه یکسان. فرضیات اعتماد در لبه‌ها شکسته می‌شوند.

برای کاربران، این امر قوانین امنیتی اساسی را تقویت می‌کند:

• افزونه‌های مرورگر را به عنوان نرم‌افزارهای پرخطر در نظر بگیرید
• بلافاصله پس از انتشار اصلاحات، به‌روزرسانی کنید
• در صورت احتمال لو رفتن کیف پول، وجه را جابجا کنید
• هرگز از عبارات بازیابی‌شده‌ی افشاشده دوباره استفاده نکنید

برای ارائه‌دهندگان کیف پول، درس این ماجرا در مورد امنیت انتشار است. کلیدهای API، خطوط لوله ساخت و اعتبارنامه‌های ذخیره‌شده اکنون اهداف اصلی حمله هستند.

نتیجه

هک ۷ میلیون دلاری افزونه Trust Wallet نتیجه یک نفوذ در زنجیره تامین بود، نه خطای کاربر. کد مخربی که در نسخه ۲.۶۸ افزونه کروم جاسازی شده بود، عبارات بازیابی را برداشت و کیف پول‌ها را در چندین بلاکچین تخلیه کرد. 

کیف پول Rust با حذف نسخه آسیب‌دیده، انتشار یک وصله امنیتی و تعهد به بازپرداخت کامل، به این مشکل پاسخ داد. این حادثه تأکید می‌کند که چگونه افزونه‌های مرورگر همچنان یک سطح حمله حیاتی در حوزه ارزهای دیجیتال هستند و چرا هم کاربران و هم توسعه‌دهندگان باید امنیت توزیع را به اندازه مدیریت کلید خصوصی جدی بگیرند.

منابع

1. کیف پول تراست روی ایکساطلاعیه در تاریخ ۴ دسامبر

2. پست Slowmist در Xگزارش مربوط به سوءاستفاده از کیف پول تراست

3. پست پک‌شیلد در ایکساکسپلویت کیف پول تراست