شرح اختراق TrustWallet: من التحديث إلى سحب المحافظ بقيمة $16M في $TWT و BTC و ETH

ما الذي حدث بالضبط في حادثة Trust Wallet

الخطوة 1: إصدار تحديث جديد لملحق المتصفح

تم إصدار تحديث جديد لملحق Trust Wallet في 24 ديسمبر.

• بدا التحديث روتينيًا.

• لم يصاحبه تحذيرات أمنية كبيرة.

• قام المستخدمون بتثبيته من خلال عملية التحديث المعتادة.

في هذه المرحلة، لم يكن هناك شيء يثير الشكوك.

الخطوة 2: إضافة رمز جديد إلى الملحق

بعد التحديث، لاحظ الباحثون الذين فحصوا ملفات الملحق تغييرات في ملف جافا سكريبت يُعرف باسم 4482.js.

ملاحظة رئيسية:

• لم يكن الرمز الجديد موجودًا في الإصدارات السابقة.

• أدخل طلبات شبكة مرتبطة بإجراءات المستخدم.

وهذا مهم لأن محافظ المتصفح بيئات حساسة جدًا؛ أي منطق خارجي جديد يشكل خطرًا عاليًا.

الخطوة 3: تظاهر الرمز بأنه “تحليلات”

ظهر المنطق المضاف كأنه رمز تحليلات أو قياس عن بُعد.

تحديدًا:

• بدا كأنه منطق تتبع يستخدمه SDKs التحليلية الشائعة.

• لم يُشغل في كل الأوقات.

• تفعيل فقط تحت ظروف معينة.

جعل هذا التصميم من الصعب اكتشافه أثناء الاختبار العادي.

الخطوة 4: شرط التشغيل — استيراد عبارة بذرة

تشير عمليات الهندسة العكسية المجتمعية إلى أن المنطق تم تفعيله عندما قام المستخدم باستيراد عبارة بذرة إلى الملحق.

لماذا هذا مهم:

• استيراد عبارة بذرة يمنح المحفظة السيطرة الكاملة.

• هذه لحظة ذات قيمة عالية لمرة واحدة.

• أي رمز خبيث يحتاج فقط إلى العمل مرة واحدة.

المستخدمون الذين استخدموا محافظ موجودة فقط ربما لم يفعّلوا هذا المسار.

الخطوة 5: إرسال بيانات المحفظة خارجيًا

عندما حدث شرط التشغيل، يُقال إن الرمز أرسل البيانات إلى نقطة نهاية خارجية:

metrics-trustwallet[.]com

ما أثار الإنذارات:

• بدا النطاق مشابهًا جدًا لنطاق فرعي شرعي لـ Trust Wallet.

• تم تسجيله قبل أيام فقط.

• لم يُوثق علنًا.

• ثم توقف عن العمل لاحقًا.

على الأقل، هذا يؤكد وجود اتصال خارجي غير متوقع من ملحق المحفظة.

الخطوة 6: تصرف المهاجمون على الفور

بعد استيراد عبارة البذرة مباشرة، أبلغ المستخدمون عن:

• استنزاف المحافظ خلال دقائق.

• تحرك العديد من الأصول بسرعة.

• لم يكن هناك حاجة لمزيد من تفاعل المستخدم.

أظهر السلوك على السلسلة:

• أنماط معاملات تلقائية.

• عناوين وجهة متعددة.

• لا يوجد تدفق واضح لموافقة التصيد الاحتيالي.

هذا يشير إلى أن المهاجمين كان لديهم بالفعل وصول كافٍ لتوقيع المعاملات.

الخطوة 7: تم تجميع الأموال عبر عناوين متعددة

تم توجيه الأصول المسروقة عبر محافظ متعددة يسيطر عليها المهاجمون.

لماذا هذا مهم:

• يوحي بالتنسيق أو البرمجة النصية.

• يقلل الاعتماد على عنوان واحد.

• يتطابق مع سلوكيات تم رصدها في استغلالات منظمة.

تقديرات استنادًا إلى العناوين التي تم تتبعها تشير إلى أن ملايين الدولارات تم نقلها، على الرغم من أن الإجماليات تختلف.

الخطوة 8: توقف النطاق عن العمل

بعد زيادة الانتباه:

• توقف النطاق المشبوه عن الاستجابة.

• لم يتبع ذلك شرح علني على الفور.

• أصبحت لقطات الشاشة والأدلة المخزنة مؤقتًا مهمة جدًا.

هذا يتوافق مع قيام المهاجمين بتدمير البنية التحتية بمجرد الكشف عنها.

الخطوة 9: جاء الاعتراف الرسمي لاحقًا

أكد Trust Wallet لاحقًا:

• أن حادثة أمنية أثرت على إصدار معين من ملحق المتصفح.

• لم تتأثر مستخدمو الهاتف المحمول.

• يجب على المستخدمين التحديث أو تعطيل الملحق.

ومع ذلك، لم يُقدم شرح فني كامل على الفور لشرح:

• سبب وجود النطاق.

• ما إذا كانت عبارة البذرة قد تعرضت.

• ما إذا كانت هذه مشكلة داخلية أو من طرف ثالث أو خارجية.

هذا الفجوة زادت من التكهنات المستمرة.

ما الذي تم تأكيده

• أدخل تحديث ملحق المتصفح سلوكًا خارجيًا جديدًا.

• خسر المستخدمون أموالهم بعد استيراد عبارات البذور مباشرة.

• كانت الحادثة محدودة على إصدار معين.

• اعترف Trust Wallet بوجود مشكلة أمنية.

ما يُشتبه بشدة

• مشكلة في سلسلة التوريد أو حقن رمز خبيث.

• تعرض عبارات البذور أو قدرة التوقيع للخطر.

• سوء استخدام أو توظيف منطق التحليلات.

ما لا يزال غير معروف

• ما إذا كان الرمز خبيثًا عمدًا أو تم اختراقه من المصدر.

• عدد المستخدمين المتأثرين.

• ما إذا تم سرقة بيانات أخرى.

• تحديد هوية المهاجمين بدقة.

لماذا يهم هذا الحادث

لم يكن تصيدًا احتياليًا نموذجيًا.

يسلط الضوء على:

• خطورة ملحقات المتصفح.

• مخاطر الثقة العمياء في التحديثات.

• كيف يمكن سوء استخدام رمز التحليلات.

• لماذا تعتبر عبارة البذرة اللحظة الأهم في أمان المحفظة.

حتى ثغرة قصيرة العمر يمكن أن يكون لها عواقب وخيمة.