بنیان‌گذار Trust Wallet، CZ متعهد به بازپرداخت ۷ میلیون دلار از دست رفته در هک روز کریسمس شد

Trust Wallet متعهد شده است تقریباً 7 میلیون دلار از وجوه مشتریانی که در یک حمله روز کریسمس از دست رفته را پوشش دهد، چانگ‌پنگ ژائو، بنیانگذار آن، این موضوع را در پلتفرم اجتماعی X تأیید کرد. این نقض ناگهانی بخشی از جامعه کریپتو را نگران کرده است. با این حال، اطمینان سریع ژائو هدفش آرام کردن اعصاب و بازگرداندن اعتماد به این کیف پول حضانتی محبوب است.

این حادثه در 1403/10/05 رخ داد، زمانی که یک نسخه به خطر افتاده از افزونه مرورگر Trust Wallet برای تخلیه دارایی‌ها از کیف پول کاربران استفاده شد. 

تحقیقات اولیه نشان می‌دهد کد مخرب در نسخه 2.68 افزونه فعال بوده و باعث انتقال‌های غیرمجاز در بلاک‌چین‌های متعدد از جمله بلاک چین اتریوم، Bitcoin و Solana شده است. در عرض چند ساعت، داده های درون زنجیره ای نشان داد که وجوه به آدرس‌های ناشناخته منتقل می‌شوند و ضررها به سرعت به 7 میلیون دلار نزدیک شد.

ژائو در پستی در X روز جمعه تأکید کرد که "وجوه کاربران SAFU هستند"، با استفاده از مخفف محبوب صنعت کریپتو برای Secure Asset Fund for Users. او گفت Trust Wallet ضررهای کاربران آسیب‌دیده را جبران خواهد کرد. تیم همچنان در حال بررسی دقیق نحوه توانایی مهاجمان برای آپلود و توزیع افزونه به خطر افتاده است.

ارائه‌دهنده کیف پول همچنین این نقض را محدود به افزونه مرورگر توصیف کرد. Trust Wallet از کاربران خواست تا نسخه به خطر افتاده را فوراً غیرفعال کنند و به نسخه اصلاح شده، نسخه 2.69، که از طریق Chrome Web Store رسمی در دسترس است، به‌روزرسانی کنند.

گزارش شده است که کاربران اپلیکیشن موبایل و کسانی که از نسخه‌های دیگر افزونه استفاده می‌کنند تحت تأثیر قرار نگرفتند.

چگونه سوءاستفاده از Trust Wallet انجام شد

محققان امنیتی و تحلیلگران درون زنجیره‌ای شروع به جمع‌آوری جدول زمانی حمله کرده‌اند. نشانه‌های اولیه آماده‌سازی توسط عوامل تهدید به اوایل دسامبر بازمی‌گردد، طبق گفته شرکت امنیت سایبری SlowMist. گزارش آن‌ها نشان می‌دهد که کد مخرب قبل از اجرا در ساخت افزونه جاسازی شده بود، که نشان‌دهنده یک حمله برنامه‌ریزی شده دقیق است نه یک حمله خودکار ساده.

پس از فعال شدن در روز کریسمس، افزونه به خطر افتاده داده‌های حساس کاربر از جمله عبارت بازیابی را جمع‌آوری کرد و آن را به یک سرور از راه دور تحت کنترل مهاجمان منتقل کرد. قربانیانی که عبارت بازیابی را در افزونه وارد کردند، کیف پول‌های خود را در عرض چند دقیقه تخلیه شده دیدند، حتی اگر شیوه‌های امنیتی رایج را دنبال کرده بودند.

در سراسر جامعه کریپتو، کارآگاهان درون زنجیره‌ای صدها کیف پول آسیب‌دیده از این نقض را علامت‌گذاری کردند. حرکت سریع دارایی‌ها از طریق سرویس‌های مخلوط‌کننده، تلاش‌ها برای ردیابی وجوه سرقت شده را پیچیده کرد و تلاش‌های بازیابی دارایی را چالش‌برانگیز ساخت.

بازار گسترده‌تر شوک این خبر را احساس کرد، در زمانی که قیمت‌های کریپتو قبلاً تحت فشار بودند. علیرغم اندازه نسبتاً محدود ضرر در مقایسه با هک‌های عظیم صرافی امسال، این حادثه بررسی تازه‌ای را به زیرساخت کیف پول مبتنی بر مرورگر و امنیت زنجیره تأمین جلب کرده است.

در همین حال، وعده عمومی ژائو برای پوشش ضررها با هدف اطمینان دادن به کاربران بود که این حادثه منجر به ضرر مالی شخصی نخواهد شد. پیام او تأکید کرد که وجوه آسیب‌دیده از ذخایر Trust Wallet بازپرداخت خواهد شد و به نظر می‌رسد مشکل به افزونه به خطر افتاده محدود است.

برخی ناظران صنعت سؤالاتی را در مورد چگونگی عبور نسخه مخرب از بررسی دستی و توزیع آن از طریق کانال‌های رسمی مطرح کرده‌اند.

پیشنهادهای اولیه وجود دارد که نقض ممکن است شامل به خطر افتادن زنجیره تأمین یا حتی اطلاعات داخلی باشد، با توجه به اینکه چگونه کد تغییر یافته توانست به نسخه رسمی راه پیدا کند. این پیشنهادها بحث را در انجمن‌ها و پلتفرم‌های اجتماعی برانگیخته است، با برخی از کاربران که نگرانی‌هایی در مورد کنترل‌های داخلی و فرآیندهای بررسی ابراز می‌کنند.

Trust Wallet با اولویت دادن به انتشار افزونه اصلاح شده و درخواست از کاربران برای به‌روزرسانی فوری پاسخ داده است. همچنین توصیه شده است که افراد آسیب‌دیده عبارت بازیابی جدید تولید کرده و دارایی‌ها را به محیط‌های امن منتقل کنند.

پست بنیانگذار Trust Wallet، CZ متعهد می‌شود 7 میلیون دلار از دست رفته در هک روز کریسمس را بازگرداند اولین بار در Technext ظاهر شد.