بدأت Trust Wallet عملية تعويض لضحايا حادث أمني في الإصدار v2.68 من إضافة متصفح Chrome، مما أدى إلى خسارة حوالي 700 ألف دولار من الأصول الرقمية لمئات المحافظ. أكد مؤسس بينانس CZ أن الشركة ستتحمل كامل خسائر جميع المستخدمين المتضررين، ويمكن للضحايا تقديم مطالباتهم عبر البوابة الرسمية.
تسرب مفتاح واجهة برمجة تطبيقات Trust Wallet يثير هجمات سلسلة التوريد
كشف الرئيس التنفيذي لشركة ترست واليت، إيوين تشين، عن الأسلوب الأساسي للهجوم خلال تحقيق ما بعد الوفاة. حصل المخترق على مفتاح واجهة برمجة التطبيقات لمتجر الويب في Trust Wallet، والذي كان يستخدم في الأصل فقط من قبل الفرق الداخلية لإصدار التحديثات. استخدم المهاجم هذا “المفتاح الرئيسي” لتجاوز عملية الإصدار الداخلية القياسية ل Trust Wallet في الساعة 12:32 ظهرا بتوقيت UTC في 24 ديسمبر ودفع النسخة المعدلة v2.68 مباشرة إلى متجر Chrome.
تسمى هذه الطريقة “هجوم سلسلة التوريد” في مجال أمن المعلومات، حيث لا يهاجم المهاجمون المستخدمين مباشرة، بل يتسللون إلى قنوات إصدار بائعي البرمجيات ويدفعون شيفرة خبيثة إلى جميع المستخدمين متنكرين في شكل تحديثات رسمية. نظرا لأن التحديث يأتي من متجر رسمي وشهادة التوقيع صالحة، لا يمكن للمستخدم ولا المتصفح تحديد طبيعته الخبيثة. مع وجود حوالي مليون مستخدم لإضافة كروم في Trust Wallet، فإن التأثير المحتمل لهذا الهجوم واسع.
في تحليل فني، أشارت شركة أمن البلوك تشين SlowMist إلى أن البرمجيات الخبيثة استغلت مكتبة تحليل مفتوحة المصدر معدلة. يقوم المهاجم باستعادة عبارة المحفظة بصمت عند تسجيل الدخول إلى الإضافة وإعادتها إلى الخادم الذي يتحكم به المخترق. العبارة البذرية هي أعلى ميزة تتحكم في محفظة العملات الرقمية، وبمجرد اختراقها، يكون للمهاجم السيطرة الكاملة على جميع أصول الضحية. وفقا لتشين، قد يكون المستخدمون الذين سجلوا الدخول إلى الامتداد قبل 26 ديسمبر الساعة 11 صباحا بالتوقيت العالمي قد تأثروا.
بدأت Trust Wallet فورا إجراء استجابة طارئة بعد تلقي تنبيه منشور على تيليجرام من المحقق في السلسلة ZachXBT في يوم عيد الميلاد. أصدر الفريق الإصدار 2.69 في 25 ديسمبر لإصلاح الثغرة وإزالة النسخة الخبيثة من متجر كروم. ومع ذلك، قد يتم تسريب عبارات البذور الخاصة بالمستخدمين الذين سجلوا الدخول أثناء إطلاق النسخة الخبيثة، وحتى التحديثات اللاحقة لن تستعيد خسائرهم.
700 دولار تتبع تدفق الأموال المسروقة
تتبعت شركة أمن البلوك تشين PeckShield تدفق الأموال المسروقة من خلال تحليلات على السلسلة. تمت سرقة حوالي 700 ألف دولار من الأصول الرقمية عبر عدة سلاسل بلوكشين، بما في ذلك سلاسل رئيسية مثل بيتكوين، إيثيريوم، وسولانا. استخدم المهاجمون استراتيجية تحقيق دخل سريع، حيث تم تحويل أكثر من 400 ألف دولار من الأموال المسروقة عبر منصات مركزية مثل ChangeNOW وFixedFloat وKuCoin. حتى يوم الخميس، بقي حوالي 280 ألف دولار في محفظة المهاجم.
هذا النمط من تدفق الأموال يشير إلى أن المهاجم يمتلك قدرات احترافية في غسل الأموال. ChangeNOW و FixedFloat هما تبادلات فورية لا تتطلب KYC وغالبا ما تستخدم لإخفاء مصدر الأموال. قد يكون تحويل بعض الأموال إلى بورصات كبيرة مثل KuCoin لأغراض إضافية للتنويع أو لسحب أموال الأموال. على الرغم من أن التتبع على السلسلة شفاف، إلا أنه بمجرد دخول الأموال إلى البورصات المركزية أو مزجات العملات، ستزداد صعوبة الاسترداد بشكل كبير.
ومن الجدير بالذكر أن الهجوم وقع في ليلة عيد الميلاد، وهي استراتيجية اختراق نموذجية. خلال العطلات، قللت فرق الأمن المؤسسي من عدد الأفراد وقللت سرعة الاستجابة، مما منح المهاجمين وقتا أطول لنقل الأصول. استغرق الأمر حوالي 24 ساعة فقط لإصدار Trust Wallet لإصلاحه، لكن المهاجمين كان لديهم وقت كاف لإتمام الموجة الأولى من تحويلات الأموال.
حاليا، فقط إضافة Trust Wallet لكروم هي التي تتأثر، ولا يتأثر مستخدمو تطبيقات الهواة المحمولة (iOS وAndroid) وإصدارات المتصفح الأخرى (مثل Firefox وEdge) بهذا الحادث. وذلك لأن المنصات المختلفة تستخدم قنوات نشر منفصلة ومفاتيح واجهة برمجة التطبيقات (API) منفصلة، والمهاجم يحصل على أذونات النشر فقط من متجر كروم.
عملية التعويض الرسمية وتنبيهات الاحتيال
أطلقت Trust Wallet نموذج طلب تعويض رسمي على بوابتها الرسمية، ويحتاج المستخدمون المتأثرون إلى تقديم المعلومات التالية لإكمال المطالبة:
المعلومات الضرورية للمطالبات
· معلومات الهوية الأساسية: البريد الإلكتروني وبلد الإقامة للتحقق من الهوية والتواصل مع المتابعة
· إثبات محفظة الضحية: يجب أن يوفر عنوان المحفظة المسروقة وعنوان الاستقبال الخاص بالمهاجم صيغة عنوان كاملة داخل السلسلة
· دليل المعاملة: يعمل هاش المعاملة ذات الصلة كدليل على السلسلة على سرقة الأموال
قال فريق Trust Wallet: “نحن نعمل على مدار الساعة لإنهاء تفاصيل عملية التعويض، ويجب التحقق من كل حالة بعناية لضمان الدقة والأمان.” تم تصميم آلية المراجعة هذه لمنع الادعاءات الكاذبة، لكنها تعني أيضا أن التعويض سيستغرق بعض الوقت. ووعد مؤسس بينانس CZ بوضوح على X: “ستتحمل Trust Wallet جميع الخسائر” وأكد أن أموال المستخدمين “آمنة ومضمونة”. استحوذت بينانس على ترست واليت في عام 2018، ويظهر هذا الالتزام عزم الشركة الأم على الحفاظ على مصداقية العلامة التجارية.
تذكر Trust Wallet المستخدمين تحديدا بالحذر من نماذج التعويض المزيفة وعمليات الاحتيال في انتحال الهوية التي تظهر بعد الحادث. غالبا ما يستخدم القراصنة والمحتالون الحوادث الأمنية لإحداث ضرر ثانوي، فيسرقون المزيد من المعلومات الشخصية أو يذرعون عبارات عبر نماذج رسمية مزيفة. يجب على المستخدمين تقديم المطالبات فقط عبر الموقع الرسمي ل Trust Wallet أو القنوات الاجتماعية الرسمية الموثوقة، وعدم النقر على روابط من مصادر مجهولة أو الكشف عن عبارات أولية لأي شخص.
تسلط هذه الحادثة الضوء على المخاطر النظامية لقنوات الإصدار المركزية. حتى المحافظ اللامركزية تعتمد على منصات مركزية مثل جوجل وآبل وغيرها لآليات تحديث البرمجيات. الإدارة السيئة لمفاتيح واجهات برمجة التطبيقات قد تؤدي إلى تعرض جميع المستخدمين. تتطلب Trust Wallet مراجعة شاملة لآليات تخزين المفاتيح، باستخدام تدابير حماية عالية الأمان مثل وحدات أمان الأجهزة (HSMs) أو تفويض التواقيع المتعددة. بالنسبة للمستخدمين، فإن النسخ الاحتياطي المنتظم للعبارات الأولية، واستخدام محافظ الأجهزة لتخزين الأصول الكبيرة، والانتباه للإعلانات الأمنية الرسمية كلها وسائل فعالة لتقليل المخاطر المماثلة.
إخلاء المسؤولية: قد تكون المعلومات الواردة في هذه الصفحة من مصادر خارجية ولا تمثل آراء أو مواقف Gate. المحتوى المعروض في هذه الصفحة هو لأغراض مرجعية فقط ولا يشكّل أي نصيحة مالية أو استثمارية أو قانونية. لا تضمن Gate دقة أو اكتمال المعلومات، ولا تتحمّل أي مسؤولية عن أي خسائر ناتجة عن استخدام هذه المعلومات. تنطوي الاستثمارات في الأصول الافتراضية على مخاطر عالية وتخضع لتقلبات سعرية كبيرة. قد تخسر كامل رأس المال المستثمر. يرجى فهم المخاطر ذات الصلة فهمًا كاملًا واتخاذ قرارات مدروسة بناءً على وضعك المالي وقدرتك على تحمّل المخاطر. للتفاصيل، يرجى الرجوع إلى
إخلاء المسؤولية.
