Trust Wallet سرقة عيد الميلاد! ZachXBT يحذر من أن التحديث الأخير لمتصفح Chrome أدى إلى سرقة جماعية

12 ديسمبر عيد الميلاد، استيقظ العديد من مستخدمي Trust Wallet ليجدوا أن أموال محافظهم قد تم تحويلها بدون إذن، ولم يتم تحديد مبلغ الخسارة. أطلق المحقق في البلوكشين ZachXBT تنبيهًا عاجلاً في مجموعة Telegram، مشيرًا إلى أن هذه الحوادث وقعت بعد تحديث وظيفة Chrome الإضافية لـ Trust Wallet في 24 ديسمبر، والوقت يثير الشك بشكل كبير.

جدول زمني لهجمات عيد الميلاد: العاصفة المثالية خلال 24 ساعة

تُظهر خطط الأحداث أن المهاجمين قاموا بالتخطيط بعناية. في ليلة عيد الميلاد، قام Trust Wallet بدفع تحديث لملحق Chrome Web Store، حيث قام معظم المستخدمين بالتحديث تلقائيًا أو يدويًا وسط أجواء العطلة. في صباح عيد الميلاد، بالتوقيت الشرقي للولايات المتحدة، من حوالي منتصف الليل حتى الصباح، اكتشف أول الضحايا تحويلات غير معتادة للأموال. بعد تلقي العديد من التقارير، أطلق ZachXBT تنبيهًا علنيًا على Telegram عند الظهر بالتوقيت المحلي، داعيًا مستخدمي Trust Wallet للتحقق من محافظهم على الفور.

اختيار توقيت العطلة ليس صدفة. خلال عيد الميلاد، يقل عدد أعضاء فريق التطوير، وتتأخر استجابة خدمة العملاء، وينخفض وعي المستخدمين، مما يخلق نافذة ذهبية للهجمات. استُخدمت استراتيجيات مماثلة في هجوم على محفظة Slope في 2022، حيث استغل المهاجمون عطلة نهاية الأسبوع لسرقة أموال من أكثر من 8000 محفظة Solana. صمت Trust Wallet زاد من الذعر، حيث اشتكى المستخدمون على وسائل التواصل الاجتماعي من عدم القدرة على التواصل مع الدعم الرسمي والحصول على رد واضح.

أكد ZachXBT في التنبيه أن “السبب الجذري الدقيق لم يُحدد بعد”، لكنه ألقى اللوم على تحديث وظيفة Chrome الإضافية. هذه التفاصيل مهمة جدًا لأنها تحوّل التحقيق من خطأ المستخدمين إلى ثغرة نظامية. إذا ثبت أن المشكلة في الإضافة نفسها، فإن Trust Wallet ستواجه مخاطر قانونية وسمعة هائلة. حاليًا، يجمع ZachXBT عناوين المحافظ المتضررة في محاولة لتعقب مصدر الأموال وتحديد نمط الهجوم.

ملحق Chrome: حصان طروادة لمحفظة العملات المشفرة

خصائص الامتيازات العالية للملحقات تجعلها هدفًا مثاليًا للمهاجمين. يمكن لملحق Chrome قراءة وتعديل جميع محتوى الويب الذي يراه المستخدم، اعتراض الطلبات الشبكية، حقن سكربتات عشوائية، وحتى الوصول إلى التخزين المحلي. بالنسبة لملحقات المحافظ المشفرة، تعني هذه الصلاحيات أنها يمكن أن: تلتقط كلمات المساعدة والمفاتيح الخاصة التي يدخلها المستخدم، تعدل عناوين وأموال المعاملات، تعترض طلبات التوقيع وتستبدل بيانات المعاملة، وتصل إلى الجلسات المشفرة المخزنة في المتصفح.

حذر الباحثون الأمنيون مرارًا وتكرارًا من أن تحديثًا خبيثًا واحدًا أو اعتمادًا مخترقًا يمكن أن يعرض ملايين المستخدمين للخطر. في نوفمبر 2023، تم اختراق مكتبة شهيرة تسمى “Ledger Connect Kit”، مما أدى إلى تأثير على عدة واجهات أمامية لـ DeFi وخسائر تزيد عن 480,000 دولار. أثبت هذا الهجوم قوة هجمات سلسلة التوريد: المهاجمون لا يحتاجون إلى اختراق تطبيق المحفظة مباشرة، بل يمكنهم السيطرة على مكتبة تعتمد عليها.

ثلاثة مخاطر نظامية رئيسية لمحافظ المتصفح

آلية التحديث التلقائي: التحديثات التلقائية للملحقات، حيث لا يمكن للمستخدم مراجعة تغييرات الكود ويُجبر على قبول الإصدار الجديد

إساءة استخدام الصلاحيات: قد تضيف الملحقات الشرعية برمجيات خبيثة أثناء التحديث، وتستغل الصلاحيات الواسعة لسرقة الأصول

ثغرة سلسلة الاعتماد: إذا تم اختراق مكتبة طرف ثالث يعتمد عليها المحفظة، فإن جميع التطبيقات الفرعية تتأثر دون علم المستخدم

شهدت الأشهر الأخيرة العديد من التهديدات المماثلة. أظهرت تقارير شركات الأمان أن بعض ملحقات المحافظ المزيفة مصممة خصيصًا لسرقة كلمات المساعدة، حيث يعيد المهاجمون بناء المحافظ بالكامل باستخدام هذه الكلمات، ثم يسرقون الأموال لاحقًا. هجمات أكثر خفاءً تأتي من ملحقات “مساعد” للمعاملات الخبيثة، التي تعدل أوامر المعاملات بشكل سري، وتسرق كميات صغيرة من العملات المشفرة عند موافقة المستخدم على التبادل، وغالبًا لا يُكتشف الأمر بسبب صغر المبالغ.

دليل التعامل مع الضحايا وإنقاذ الأصول

بالنسبة لمستخدمي Trust Wallet الذين يشتبه في تعرضهم، الوقت حاسم. المهمة الأولى هي فحص سجلات المعاملات خلال الـ 48 ساعة الماضية، مع التركيز على أي تحويلات غير مصرح بها، تفاعلات العقود، أو توقيعات تفويض. إذا وُجدت معاملات مشبوهة، يجب اتخاذ الإجراءات التالية على الفور: إيقاف ملحق Chrome لـ Trust Wallet، والذهاب إلى chrome://extensions لتعطيله أو إزالته؛ إلغاء جميع تفويضات DeFi باستخدام Revoke.cash أو وظيفة إلغاء تفويض الرموز على Etherscan؛ إنشاء محفظة جديدة باستخدام كلمات مساعدة جديدة بدلاً من استعادة من محفظة قديمة؛ ونقل الأصول المتبقية إلى المحفظة الجديدة، مع التأكد من عدم استخدام أجهزة قد تكون مراقبة.

يوصي ZachXBT أن يتواصل الضحايا مع الجهات القانونية ويقدموا سجلات المعاملات التفصيلية. على الرغم من أن معدلات حل قضايا سرقة العملات المشفرة منخفضة، إلا أن إنشاء سجل رسمي مهم جدًا للملاحقات الجماعية المحتملة أو مطالبات التأمين في المستقبل. في الوقت نفسه، يجب على المستخدمين الإبلاغ عن حالات السرقة في مجموعة ZachXBT على Telegram أو المنتديات ذات الصلة، وتقديم تفاصيل المبالغ المسروقة وعناوين المحافظ للمساعدة في بناء صورة كاملة للهجوم.

بالنسبة لمستخدمي Trust Wallet غير المتضررين، تشمل التدابير الوقائية: التوقف عن استخدام ملحق Chrome، والانتقال إلى تطبيق الهاتف المحمول أو المحفظة الصلبة؛ مراجعة وإلغاء تفويضات العقود الذكية غير الضرورية؛ تجنب توقيع معاملات أو تفويضات جديدة حتى يتضح الأمر؛ النسخ الاحتياطي المنتظم لكلمات المساعدة وتخزينها في بيئة غير متصلة؛ والنظر في نقل الأصول الكبيرة إلى محافظ صلبة مثل Ledger أو Trezor.

ردود فعل رسمية من Trust Wallet تفتقر إلى الشفافية وتثير أزمة ثقة

حتى وقت نشر هذا، لم تصدر Trust Wallet بيانًا رسميًا يؤكد ما إذا كان تحديث وظيفة Chrome الإضافية هو السبب المباشر، ولم تقدم تفاصيل تقنية أو خطة تعويض. هذا الصمت أثار استياء شديدًا في مجتمع التشفير. اشتكى المستخدمون على منصة X و Reddit من عدم القدرة على التواصل مع الدعم، ولم تتفاعل الحسابات الرسمية مع الحدث، بل استمرت في نشر تهاني العيد، مما يتناقض مع قلق الضحايا.

Trust Wallet هو محفظة مشفرة تابعة ل Binance، وتدعي أن لديها عشرات الملايين من المستخدمين. إذا ثبتت صحة هذا الحدث الأمني، فسيكون ضربة مدمرة لمكانتها السوقية. في عام 2022، بعد تسريب المفاتيح الخاصة على محفظة Slope، انخفض عدد المستخدمين بأكثر من 70%، ولم يتعافَ حتى الآن. إذا لم تتعامل Trust Wallet بسرعة وشفافية مع الأزمة الحالية، فقد تواجه مصيرًا مشابهًا.