هک افزونه Trust Wallet در کروم؛ سرقت میلیون ها دلار بدون تأیید تراکنش
چندین کاربر کیف پول Trust Wallet، متعلق به بایننس، تحت تأثیر یک نقص امنیتی جدی در نسخه اخیر افزونه کروم این کیف پول قرار گرفته اند. چانگ پنگ ژائو (CZ)، مدیرعامل سابق بایننس، تأیید کرده است که Trust Wallet خسارت تمامی کاربران آسیب دیده را جبران خواهد کرد. Trust Wallet اعلام کرده که یک حادثه امنیتی در نسخه 2.68 افزونه مرورگر این کیف پول رخ داده که باعث شده دارایی کاربران بدون هیچ گونه تأیید تراکنش از کیف پول آن ها خارج شود.
مجله کریپتو برای دریافت توضیحات بیشتر با Trust Wallet تماس گرفته، اما تا زمان انتشار گزارش پاسخی دریافت نکرده است.
افشای اولیه توسط ZachXBT
تحلیل گر آن چین شناخته شده، ZachXBT، نخستین فردی بود که این مشکل را در تلگرام مطرح کرد؛ جایی که هم زمان چندین کاربر از خروج غیرمجاز دارایی ها گزارش می دادند. در آن مقطع، هنوز ماهیت دقیق اکسپلویت مشخص نبود، اما این تحلیل گر احتمال داد که مشکل به به روزرسانی اخیر افزونه مرتبط باشد.
بر اساس فهرست آدرس های آسیب دیده، ZachXBT تخمین می زند که مجموع خسارت ها به بیش از ۶ میلیون دلار و صدها کاربر می رسد.
ردگیری کیف پول مهاجمان
به طور جداگانه، داده های پلتفرم Arkham نشان می دهد کیف پولی که به مهاجمان مرتبط است، از چندین آدرس دریافت کننده استفاده کرده و بلافاصله انتقال دارایی ها را در مقادیر کوچک میان کیف پول های مختلف آغاز کرده است. تا زمان نگارش این گزارش، این کیف پول همچنان بیش از ۲.۷ میلیون دلار ارز دیجیتال مختلف را در اختیار دارد.
واکنش Trust Wallet و هشدار امنیتی
Trust Wallet تاکنون گزارش فنی (Post-Mortem) دقیقی از این رخنه امنیتی منتشر نکرده، اما از کاربران خواسته است در اسرع وقت به نسخه 2.69 افزونه ارتقا دهند. در اطلاعیه ای دیگر، این شرکت هشدار داد: «برای حفظ امنیت کیف پول و جلوگیری از بروز مشکلات بیشتر، از باز کردن افزونه Trust Wallet روی دسکتاپ خودداری کنید.»
نحوه ارتقای ایمن افزونه
برای ارتقا ایمن، کاربران باید از طریق نوار آدرس مرورگر به لینک زیر مراجعه کنند:
chrome://extensions/?id=egjidjbpglichdcondbcbdnbeeppgdph
سپس گزینه افزونه را روی Off قرار دهند، Developer mode را از گوشه بالا فعال کرده و روی دکمه Update کلیک کنند. پس از تکمیل فرآیند، افزونه مجدداً فعال شود و کاربران بررسی کنند که نسخه افزونه حتماً 2.69 باشد.
اعتراض کاربران و مطالبه شفافیت
در این فاصله، کاربران Trust Wallet از نبود یک گزارش شفاف درباره جزئیات حادثه انتقاد کرده اند. با این حال، نگرانی اصلی اکثر کاربران این بوده که آیا خسارت ها جبران خواهد شد یا خیر.
تأیید جبران خسارت؛ احتمال نقش نیروی داخلی
هرچند Trust Wallet هنوز بیانیه رسمی درباره سازوکار جبران خسارت منتشر نکرده، اما چانگ پنگ ژائو تأیید کرده است که تمام کاربران آسیب دیده بازپرداخت خواهند شد.
او در پستی در شبکه X نوشت:
«تا این لحظه حدود ۷ میلیون دلار از این هک آسیب دیده است. Trust Wallet تمام خسارت را پوشش می دهد.» ژائو افزود که تیم همچنان در حال بررسی این موضوع است که «چگونه هکرها توانسته اند نسخه جدیدی از افزونه را ثبت و منتشر کنند.» در واکنش به این پست، بسیاری از کاربران گمانه زنی کرده اند که ماهیت این رخداد می تواند نشان دهنده دخالت یک نیروی داخلی باشد.
نفوذ داخلی؛ تهدیدی آشنا در صنعت کریپتو
نفوذ مهاجمان به شرکت های بزرگ کریپتویی و دستیابی به دسترسی های ویژه، موضوع تازه ای نیست. همان طور که پیش تر مجله کریپتو گزارش داده بود، هکرهای کره شمالی در سال های اخیر با جعل هویت توسعه دهندگان بلاکچین و نیروهای IT، به طور فزاینده ای این صنعت را هدف قرار داده اند.
بیشتر بخوانید: محکومیت سنگین مروج پانزی IcomTech
