Trust Wallet متعهد به جبران 7 میلیون دلار از دست رفته در هک روز کریسمس شد، CZ می‌گوید

• هک Trust Wallet با سوءاستفاده از نقص افزونه مرورگر 7 میلیون دلار را تخلیه کرد، در حالی که مهاجمان هفته‌ها قبل نقشه نقض را طراحی کرده بودند.
• بایننس بازپرداخت به همه قربانیان را تایید کرد، در حالی که کارشناسان احتمال دسترسی داخلی پشت این سوءاستفاده را مطرح کردند.
• هک شکاف‌هایی را در بررسی به‌روزرسانی‌ها آشکار کرد، زیرا وجوه مسروقه و داده‌های کاربران صدها کیف پول را تحت تأثیر قرار داد.

هک Trust Wallet شکاف‌های امنیتی جدی را پس از آنکه مهاجمان به آرامی نزدیک به 7 میلیون دلار از کاربران را در تعطیلات کریسمس سرقت کردند، آشکار کرد. این نقض از طریق یک افزونه مرورگر آسیب‌دیده به کاربران دسکتاپ هدف قرار گرفت و روزها متوجه نشد. بازرسان بعداً فاش کردند که عملیات هفته‌ها قبل برنامه‌ریزی شده بود که آن را به یک حمله محاسبه‌شده به جای یک ضربه فرصت‌طلبانه تبدیل کرد.

Trust Wallet گفت که حمله محدود به افزونه مرورگر نسخه 2.68 بود و نه برنامه‌های تلفن همراه آنها. شرکت توصیه کرد که کاربران برنامه را به نسخه 2.89 به‌روزرسانی کنند که شامل اصلاحات امنیتی است که برای جلوگیری از کار کردن سوءاستفاده طراحی شده است. Trust Wallet متعلق به بایننس یکی از بزرگترین کیف پول‌های ارز دیجیتال است که بیش از 220 میلیون کاربر در سراسر جهان دارد.

ژائو بازپرداخت به کاربران را پس از هک Trust Wallet تایید می‌کند

چانگ‌پنگ ژائو، بنیانگذار بایننس، پس از گزارش‌های نقض درباره هک به مردم سخن گفت. او گفت Trust Wallet به همه کاربران آسیب‌دیده بازپرداخت خواهد کرد و ضررها را متحمل خواهد شد. ژائو اعتراف کرد که این هک یک نقض بسیار جدی بود و بازسازی اعتماد کاربران در زمانی که امنیت ارز دیجیتال به طور فزاینده‌ای تحت بررسی قرار می‌گیرد، بسیار مهم است.

تحلیل اضافی نشان داد که هک Trust Wallet از اوایل دسامبر به طور فعال در حال انجام بوده است. یو شیان، بنیانگذار شرکت امنیتی بلاک چین SlowMist، فاش کرد که سوءاستفاده تا 8 دسامبر انجام نشد. در 22 دسامبر، آنها موفق به تزریق یک بک‌دور مضر به افزونه شدند. سپس پول در روز کریسمس منتقل شد و نقض در نهایت در آنجا کشف شد.

منبع: COS

کد مخرب فقط دارایی‌های دیجیتال را تخلیه نکرد. محققان دریافتند که کد حمله مخرب همچنین اطلاعات شخصی کاربران را جمع‌آوری کرد که در سرورهای کنترل‌شده توسط مهاجم منتشر شد. به گفته ZachXBT، محقق بلاک چین، این حمله صدها کاربر را تحت تأثیر قرار داد که نشان می‌دهد تعداد کمی از قربانیان را تحت تأثیر قرار نداد.

همچنین بخوانید: هک Upbit: 1.77 میلیون دلار دارایی مسروقه با گسترش تحقیقات مسدود شد

صنعت نگرانی‌های جدی در مورد اجرای این سوءاستفاده دارد. مهاجم توانست یک نسخه اصلاح‌شده از افزونه را از طریق پلتفرم‌های رسمی توزیع عبور دهد. این امر باعث شد برخی از متخصصان احتمال دسترسی داخلی را به عنوان یک عامل زیر سوال ببرند.

کارشناسان نقش احتمالی داخلی را در نقض Trust Wallet مطرح می‌کنند

اندی لیان که به عنوان مشاور بین‌دولتی بلاک چین خدمت می‌کند، این رویداد را بسیار عجیب توصیف کرد و معتقد بود که احتمال زیادی برای دخالت داخلی وجود دارد. ژائو متعاقباً ادعا کرد که این هک به احتمال زیاد با اطلاعات داخلی انجام شده است.

Slowmist Xian اشاره کرد که مهاجم همچنین درک عمیقی از کد منبع Trust Wallet نشان داد. این آشنایی همچنین به ارائه مشروعیت به بک‌دور کمک کرد و بنابراین از تشخیص زودهنگام جلوگیری کرد. کارشناسان امنیتی می‌گویند این مسئله آسیب‌پذیری‌هایی را در فرآیندهای بررسی داخلی و سیستم‌هایی که به‌روزرسانی‌ها را تایید می‌کنند، منعکس می‌کند.

هک Trust Wallet یکی از چندین سرقت کیف پول ارز دیجیتال در سال 2025 است. هک کیف پول شخصی حدود 37٪ از ارزش از دست رفته در ارز دیجیتال سرقت شده در امسال را تشکیل می‌دهد، بدون احتساب هک 1.4 میلیارد دلاری Bybit در فوریه، طبق گزارش Chainalysis. اگرچه ضررهای Trust Wallet به اندازه برخی حملات قبلی بزرگ نبودند، اما دوباره به ریسک‌های مداوم اشاره می‌کنند.

منبع: Chainalysis

رهبران صنعت هشدار می‌دهند که این نقض به عنوان یادآوری دیگری برای نظارت مداوم بر امنیت ارز دیجیتال عمل می‌کند. استار شو، بنیانگذار OKX، گفت که این نوع حوادث نشان می‌دهد که کار امنیتی هرگز به پایان نمی‌رسد و حتی پلتفرم‌های قابل اعتماد می‌توانند در صورت عدم اتخاذ اقدامات احتیاطی مناسب آسیب‌پذیر باشند.

همچنین بخوانید: هشدار ایمنی ارز دیجیتال: CZ بایننس مسمومیت آدرس را پس از ضرر 50 میلیون دلاری هدف قرار می‌دهد