کیف پول Trust با موج ادعاهای کلاهبردارانه پس از هک ۷ میلیون دلاری افزونه کروم روبرو شد

مدیرعامل Eowyn Chen روز دوشنبه فاش کرد که Trust Wallet تعداد 2,596 آدرس کیف پول آسیب‌دیده از هک 24 دسامبر را شناسایی کرده است. با این حال، شرکت تقریباً 5,000 درخواست جبران خسارت دریافت کرد—اختلافی که به ارسال‌های تقلبی گسترده اشاره دارد.

Chen اظهار داشت: "به همین دلیل، تأیید دقیق مالکیت کیف پول برای اطمینان از بازگشت وجوه به افراد مناسب بسیار مهم است. تیم ما با جدیت در حال بررسی درخواست‌ها هستند؛ با ترکیب نقاط داده متعدد برای تشخیص قربانیان واقعی از عوامل مخرب."

شکاف عظیم بین قربانیان واقعی و کل درخواست‌ها، Trust Wallet را مجبور کرده است سرعت را به نفع دقت کنار بگذارد، که نشان‌دهنده یک تغییر عملیاتی قابل توجه در یکی از برجسته‌ترین حوادث امنیت کریپتو در سال است.

چگونه حمله رخ داد

نقض زمانی آغاز شد که مهاجمان یک کلید API فاش شده Chrome Web Store را به دست آوردند که به آنها اجازه داد بررسی‌های امنیتی داخلی Trust Wallet را دور بزنند. در تاریخ 1403/10/04 ساعت 16:02، نسخه آسیب‌دیده 2.68 افزونه Chrome در فروشگاه رسمی Google منتشر شد.

بر اساس تحلیل شرکت امنیت بلاک چین SlowMist، کد مخرب به دقت در داخل یک کتابخانه تحلیلی اصلاح‌شده به نام posthog-js پنهان شده بود. هنگامی که کاربران کیف پول خود را باز می‌کردند، کد به طور مخفیانه عبارات بازیابی آنها—کلیدهای اصلی کیف پول ارز دیجیتال—را استخراج کرده و به سروری تحت کنترل مهاجمان ارسال می‌کرد.

دامنه‌ای که برای جمع‌آوری داده‌های سرقت‌شده استفاده شد، "api.metrics-trustwallet.com"، در تاریخ 1403/09/18 ثبت شده بود که نشان می‌دهد حمله حداقل دو هفته قبل برنامه‌ریزی شده بود. محقق ارز دیجیتال ZachXBT ابتدا این مسئله را در روز کریسمس پس از اینکه صدها کاربر کیف پول‌های تخلیه‌شده را گزارش دادند، علامت‌گذاری کرد.

منبع: @EowynChen

Trust Wallet نسخه اصلاح‌شده 2.69 را در تاریخ 1403/10/05 منتشر کرد. نقض تنها کاربران افزونه Chrome که قبل از تاریخ 1403/10/06 ساعت 14:30 وارد شده بودند را تحت تأثیر قرار داد. کاربران اپلیکیشن موبایل و سایر نسخه‌های مرورگر در امان ماندند.

سوال افراد داخلی

چندین چهره صنعت نگرانی‌هایی درباره احتمال مشارکت افراد داخلی در حمله مطرح کرده‌اند. Changpeng Zhao، بنیان‌گذار مشترک بایننس که شرکتش مالک Trust Wallet است، گفت که سوء استفاده "به احتمال زیاد" توسط یک فرد داخلی انجام شده است، اگرچه او هیچ مدرک اضافی ارائه نکرد.

Yu Xian، بنیان‌گذار مشترک SlowMist، خاطرنشان کرد که مهاجم دانش دقیقی از کد منبع افزونه نشان داد و زیرساخت را هفته‌ها قبل از اجرای سرقت آماده کرده بود. توانایی به دست آوردن و سوء استفاده از کلید API Chrome Web Store نشان می‌دهد که یا دستگاه‌های توسعه‌دهنده آسیب‌دیده یا مجوزهای استقرار سرقت شده است.

Chen تأیید کرد که شرکت در حال انجام یک تحقیق جنایی گسترده‌تر در کنار فرآیند جبران خسارت است، اما تأیید نکرده است که آیا افراد داخلی درگیر بوده‌اند یا خیر.

وجوه سرقت‌شده و پولشویی

این حمله منجر به خسارات تقریباً 7 میلیون دلاری در چندین ارز دیجیتال از جمله Bitcoin، Ethereum و Solana شد. شرکت امنیت بلاک چین PeckShield بیش از 4 میلیون دلار از وجوه سرقت‌شده را که از طریق صرافی‌های متمرکز مانند ChangeNOW، FixedFloat و KuCoin جابجا می‌شدند، ردیابی کرد. حدود 2.8 میلیون دلار تا تاریخ 1403/10/06 در کیف پول‌های تحت کنترل مهاجم باقی مانده بود.

حرکت سریع وجوه از طریق صرافی‌های متعدد و شبکه‌های بلاک چین تلاش‌های بازیابی را پیچیده کرده و ردیابی مهاجمان را دشوارتر ساخته است.

فرآیند جبران خسارت تحت بررسی دقیق

Zhao، بنیان‌گذار بایننس، متعهد شده است که تمام خسارات تأیید شده را پوشش دهد و اظهار داشته است "وجوه کاربر SAFU هستند"—یک اصطلاح صنعت کریپتو به معنای "صندوق دارایی ایمن برای کاربران". با این حال، فرآیند تأیید پیچیده‌تر از آنچه در ابتدا انتظار می‌رفت شده است.

Trust Wallet از کاربران آسیب‌دیده می‌خواهد اطلاعات دقیق را از طریق فرم پشتیبانی رسمی ارسال کنند، از جمله آدرس‌های حساب ایمیل، آدرس‌های کیف پول آسیب‌دیده، آدرس‌های مهاجم و هش‌های تراکنش. شرکت تأکید کرد که دقت اکنون نسبت به سرعت اولویت دارد.

افزایش درخواست‌های نادرست، یک مشکل تکرارشونده در حوادث امنیت ارز دیجیتال را برجسته می‌کند. در حالی که شفافیت بلاک چین اجازه می‌دهد حوادث ردیابی شوند، پیوند دادن آدرس‌های کیف پول به کاربران تأیید شده بدون سوابق متمرکز همچنان چالش‌برانگیز است. این تنش زمانی که میلیون‌ها دلار در میان است، حاد می‌شود.

Chen گفت تیم در حال ترکیب روش‌های تأیید متعدد برای ارزیابی درخواست‌ها است، اما معیارهای خاص مورد استفاده را شرح نداد. مرحله تأیید، یک آزمون حیاتی است که آیا Trust Wallet می‌تواند با موفقیت ارسال‌های تقلبی را فیلتر کند در حالی که اعتماد قربانیان واقعی را حفظ می‌کند.

هشدار درباره کلاهبرداری های آنلاین ثانویه

Trust Wallet هشدارهای فوری درباره کلاهبرداران که از این موقعیت سوء استفاده می‌کنند، صادر کرد. شرکت گزارش داد که فرم‌های جبران خسارت جعلی را مشاهده کرده است که از طریق تبلیغات تلگرام، حساب‌های پشتیبانی جعلی و پیام‌های مستقیمی که درخواست کلیدهای خصوصی یا عبارات بازیابی می‌کنند، پخش می‌شوند.

فرآیند رسمی جبران خسارت هرگز درخواست رمزهای عبور، کلیدهای خصوصی یا عبارات بازیابی نمی‌کند. کاربران فقط باید درخواست‌ها را از طریق پورتال پشتیبانی تأیید شده Trust Wallet در trustwallet-support.freshdesk.com ارسال کنند. هر ارتباط دیگری که ادعا می‌کند بازپرداخت ارائه می‌دهد باید به عنوان تقلبی در نظر گرفته شود.

این موج ثانویه کلاهبرداری های آنلاین، یک لایه دیگر از ریسک برای قربانیانی که قبلاً با وجوه سرقت‌شده روبرو هستند، اضافه می‌کند. شرکت تأکید کرد که کاربران باید قبل از انجام هر اقدامی، تأیید کنند که تمام ارتباطات از کانال‌های رسمی Trust Wallet می‌آیند.

پیامدهای امنیت گسترده‌تر

حادثه Trust Wallet در الگوی بزرگ‌تری از حملات زنجیره تأمین که کاربران ارز دیجیتال را در سال 2024 هدف قرار می‌دهند، قرار می‌گیرد. بر اساس داده‌های Chainalysis، سرقت ارز دیجیتال در سال 2024 به 6.75 میلیارد دلار رسید، با افزایش آسیب‌های کیف پول شخصی از 64,000 در سال قبل به 158,000.

افزونه‌های مرورگر چالش‌های امنیت منحصر به فردی را ارائه می‌دهند زیرا با مجوزهای بالا عمل می‌کنند و می‌توانند به داده‌های حساس کاربر دسترسی داشته باشند. یک به‌روزرسانی آسیب‌دیده واحد می‌تواند صدها هزار کاربر را در عرض چند ساعت تحت تأثیر قرار دهد.

این حادثه همچنین نشان می‌دهد که چگونه فرآیندهای تأیید ضعیف می‌توانند یک نقض امنیت واحد را به مشکلات متعدد تبدیل کنند. Trust Wallet اکنون باید منابع قابل توجهی را به فیلتر کردن درخواست‌های نادرست اختصاص دهد در حالی که قربانیان واقعی منتظر جبران خسارت هستند.

افزونه Chrome Trust Wallet طبق فهرست رسمی آن تقریباً یک میلیون کاربر دارد، اگرچه قرارگیری عملی بستگی به این دارد که چه تعداد افراد نسخه 2.68 را نصب کرده و داده‌های حساس را در طول پنجره آسیب‌پذیر وارد کرده‌اند.

مسیر پیش رو

Trust Wallet چندین گام برای جلوگیری از حوادث آینده برداشته است. شرکت تمام API های انتشار را منقضی کرده است تا به‌روزرسانی‌های نسخه غیرمجاز را برای دو هفته آینده مسدود کند. دامنه مخرب مورد استفاده برای جمع‌آوری داده‌های سرقت‌شده به ثبت‌کننده آن گزارش شد و فوراً تعلیق شد.

با این حال، سؤالاتی درباره اینکه چگونه مهاجمان کلید API Chrome Web Store را به دست آوردند و آیا اقدامات امنیت اضافی اجرا خواهد شد، باقی می‌ماند. تحقیقات جنایی در حال انجام ممکن است پاسخ‌هایی ارائه دهد، اما Trust Wallet تغییرات خاصی در فرآیند انتشار خود اعلام نکرده است.

برای کاربران ارز دیجیتال، این حادثه اهمیت برخورد با به‌روزرسانی‌های کیف پول با احتیاط شدید را تقویت می‌کند. کارشناسان امنیت توصیه می‌کنند قبل از نصب به‌روزرسانی‌ها منتظر تأیید جامعه باشید و کیف پول‌های سخت‌افزاری را برای دارایی‌های قابل توجه در نظر بگیرید.

فرآیند جبران خسارت ادامه دارد در حالی که Trust Wallet هزاران درخواست را بررسی می‌کند. توانایی شرکت در شناسایی دقیق قربانیان واقعی در حالی که ارسال‌های تقلبی را مسدود می‌کند، احتمالاً بر نحوه مدیریت حوادث امنیت آینده توسط سایر ارائه‌دهندگان کیف پول تأثیر خواهد گذاشت.

بررسی واقعیت

نقض Trust Wallet دو آسیب‌پذیری حیاتی در امنیت ارز دیجیتال را آشکار می‌کند: حملات زنجیره تأمین می‌توانند حتی سیستم‌های امنیت خوب‌طراحی‌شده را دور بزنند، و فرآیندهای جبران خسارت خودشان هدف کلاهبرداری می‌شوند. همانطور که Trust Wallet در حال ناوبری تأیید تقریباً 5,000 درخواست برای 2,596 قربانی واقعی است، این حادثه به عنوان یک یادآوری پرهزینه است که در امنیت کریپتو، پاکسازی می‌تواند به همان اندازه خود نقض چالش‌برانگیز باشد.