Trust Wallet أكدت أن ما يقرب من 7 ملايين دولار من العملات المشفرة قد تمّت سرقتها من خلال تحديث إضافة متصفح مخترَقة.
أثر الاختراق فقط على الإصدار 2.68 من إضافة Chrome، الذي تم إصداره في 24 ديسمبر.
مستخدمو المحفظة على الهواتف المحمولة لم يتأثروا، بحسب الشركة.
قال تشانغبينغ تشاو، مؤسس Binance المالِكة لـ Trust Wallet، إن المحفظة ستعوض جميع المستخدمين المتضررين.
وكتب تشاو على منصة X: "حتى الآن، 7 ملايين دولار تأثرت بهذا الاختراق. Trust Wallet ستتحمّل الخسائر. أموال المستخدمين SAFU".
ما الذي حدث
قام محقق البلوكشين ZachXBT بالإبلاغ عن الحادث لأول مرة في 25 ديسمبر بعد تلقيه تقارير عن سحب سريع للأموال من مستخدمي Trust Wallet.
حدثت الخسائر في غضون ساعات من تحديث الإضافة، مما يشير إلى اختراق في سلسلة التوريد.
حللت شركة الأمن SlowMist الشيفرة الخبيثة ووجدت أنه تم حقنها مباشرة في الشيفرة المصدرية لـ Trust Wallet، وليس عبر مكتبة طرف ثالث مخترَقة.
كانت الشيفرة الخلفية تجمع العبارات السرّية (seed phrases) المشفّرة للمستخدمين عند فتح المحافظ، ثم ترسلها إلى نطاق يسيطر عليه المهاجم تم تسجيله في 8 ديسمبر.
يشير تحليل SlowMist إلى أن المهاجمين بدأوا التحضيرات قبل ما لا يقل عن أسبوعين من نشر التحديث الخبيث.
شملت الأموال المسروقة عملات مثل بيتكوين وإيثريوم وأصولاً على شبكات بلوكشين متعددة.
أبلغ بعض المستخدمين الأفراد عن خسائر تجاوزت 300,000 دولار خلال دقائق من الوصول إلى المحفظة.
حثّت Trust Wallet المستخدمين فوراً على تعطيل الإصدار 2.68 والترقية إلى الإصدار المُصحَّح 2.69 عبر متجر Chrome Web Store الرسمي.
اقرأ أيضاً: Bitcoin's 2019-Like Setup Points To Extended Macro Headwinds, Says Analyst
لماذا يهم الأمر
يسلط الحادث الضوء على ثغرات الأمان المستمرة في محافظ العملات المشفرة المعتمدة على المتصفح، على الرغم من جهود القطاع لتعزيز الحماية.
وعلى عكس الهجمات التي تستهدف المستخدمين الأفراد من خلال التصيّد، فقد اخترق هذا الهجوم قناة التوزيع الرسمية لـ Trust Wallet، ما أثّر على مستخدمين اتّبعوا ممارسات أمان سليمة.
شهدت هجمات سلسلة التوريد التي تستهدف بُنى العملات المشفرة التحتية ارتفاعاً حاداً في عام 2024.
شركة أمن البلوكشين Chainalysis أفادت بأن سرقات العملات المشفرة تجاوزت 3.41 مليار دولار حتى أوائل ديسمبر، مقارنة بـ 3.38 مليار دولار خلال عام 2023 بأكمله.
يمثّل اختراق Trust Wallet ثاني مشكلة أمنية كبرى لإضافة المتصفح الخاصة بالمحفظة.
في عام 2023، اكتشف فريق الأمن في شركة محافظ الأجهزة Ledger ثغرة حرجة في إضافة Trust Wallet على Chrome خفّضت مستوى الأمان من 256 بت إلى 32 بت فقط من العشوائية (entropy).
قال مدير التقنية في Ledger تشارلز غيوميه إن ثغرة 2023 كان من الممكن أن تتيح للمهاجمين تفريغ المحافظ دون أي تفاعل من المستخدم.
تم تحديد تلك الثغرة وإصلاحها قبل حدوث استغلال واسع النطاق.
تؤكد الحادثة الأخيرة سبب بقاء محافظ الأجهزة، التي تخزّن المفاتيح الخاصة دون اتصال بالإنترنت، كأكثر خيار أماناً لحفظ كميات كبيرة من العملات المشفرة.
تتطلب إضافات المتصفح أذونات نظام واسعة، وتعتمد على أمان كل من شيفرة الإضافة وجهاز المستخدم، مما يخلق عدداً كبيراً من نقاط الدخول المحتملة للهجوم.
اقرأ أيضاً: SHIB Price Defies 5,000% Long-Biased Liquidation Wave