الخطر وراء البرنامج النصي الضار: كيف استولى رمز مخفي على المفاتيح الخاصة في Trust Wallet

ما هو السكريبت ولماذا تعرضت إضافة Chrome لـ Trust Wallet لهجوم بواسطة رمز خبيث؟ كانت التحديث v2.68 الذي صدر في 24 ديسمبر يحتوي على منطق جافا سكريبت مشبوه مصمم لنقل أسرار المحفظة إلى خوادم خارجية. حدد الباحثون إشارات إلى ملف يسمى “4482.js” داخل الحزمة المتأثرة، مؤكدين أن السكريبت كان يعمل بشكل مشفر لتجنب الكشف.

مدى الحادث: من 6 إلى 7 ملايين دولار من الخسائر المؤكدة

أكدت Trust Wallet لاحقًا أن حوالي 7 ملايين دولار قد سُرقت خلال الحادث. ردت الشركة بسرعة، ونشرت الإصدار v2.69 في 25 ديسمبر كإجراء تصحيحي. وفقًا لتقارير الضحايا والباحثين، بدأت عمليات السرقة تظهر بعد ساعات من إصدار v2.68، مما أثار تحذيرات عامة حول مدى الاختراق المحتمل.

تشير صفحة الإضافة في Chrome Web Store إلى وجود حوالي 1,000,000 مستخدم مسجل، مما يحدد سقفًا نظريًا للتعرض. ومع ذلك، فإن الثغرة العملية تعتمد على عدد المستخدمين الذين أدخلوا عبارة seed أثناء تفعيل النسخة المخترقة في متصفحاتهم.

من كان في خطر حقيقي: أهمية عبارة seed

أكد الباحثون أن الخطر الأكبر كان يهدد المستخدمين الذين استوردوا أو أدخلوا عبارة seed بعد تثبيت v2.68. تمثل عبارة seed المفتاح الرئيسي الذي يمكنه فتح جميع العناوين الحالية والمستقبلية المشتقة منها، مما يجعلها الهدف الأول لأي مهاجم.

تم تصميم السكريبت الخبيث خصيصًا لالتقاط هذا النوع من البيانات الحساسة. على الرغم من أن مكونات أخرى من الإضافة (النسخ المحمولة وتوزيعات أخرى) لم تتأثر، إلا أن إصدار متصفح Chrome كان مركز التعرض خلال فترة الثغرة.

خطوات الاسترداد: التحديث ليس كافيًا إذا تم كشف عبارة seed الخاصة بك

هذا التمييز مهم للمستخدمين. تحديث إلى v2.69 يزيل المنطق الخبيث من السكريبت من ذلك الحين، لكن لا يحمي الأصول تلقائيًا إذا تم نقل عبارة seed بالفعل إلى المهاجمين.

بالنسبة للمستخدمين الذين أدخلوا عبارة seed أثناء وجود v2.68 مثبتة، تشمل الخطوات القياسية:

• إنشاء محفظة جديدة باستخدام عبارة seed جديدة تمامًا
• نقل جميع الأموال إلى العناوين الجديدة المشتقة
• إلغاء الموافقات على الرموز حيثما أمكن على سلسلة الكتل
• التعامل مع أي جهاز أدارت عليه عبارة seed على أنه معرض للخطر حتى يتم التحقق منه

تتطلب هذه الإجراءات تكاليف تشغيلية كبيرة، بما في ذلك رسوم الغاز لعدة معاملات عبر السلاسل، والمخاطر المرتبطة بجسر الأصول خلال فترة الترحيل.

نموذج الثقة في الإضافات: نقطة ضعف في أمان النظام البيئي

تحتل إضافات المتصفح مكانة فريدة وذات عرضة للخطر: يمكنها الوصول إلى نفس الواجهات التي يستخدمها المستخدمون للتحقق من المعاملات. أظهرت الأبحاث أن السكريبتات الخبيثة يمكنها التهرب من المراجعات الآلية في Chrome Web Store، وأن فعالية أنظمة الكشف تتدهور مع مرور الوقت مع تطور أساليب المهاجمين.

تؤكد الحادثة على الحاجة إلى تنفيذ ضوابط أكثر صرامة لسلامة البناء، بما في ذلك عمليات البناء القابلة لإعادة الإنتاج، وتوقيعات المفاتيح المقسمة، وخيارات التراجع الموثقة بوضوح في حالات الطوارئ.

سيناريوهات تطور الحادث: توقعات حول النطاق النهائي

لا يزال إجمالي الخسائر متغيرًا، ويخضع لاكتشافات متأخرة للضحايا وإعادة تصنيف العناوين على السلسلة. يتوقع الباحثون سيناريوهات للأسبوعين إلى الثمانية القادمة:

تشمل العوامل الرئيسية ما إذا كانت عملية التقاط الأسرار اقتصرت فقط على إدخال عبارات seed أثناء v2.68، وإذا تم تحديد مسارات إضافية للتعرض، وسرعة إزالة النطاقات المزيفة التي تحاول خداع المستخدمين من خلال تقديم حلول زائفة.

استجابة السوق والتوصيات الفورية

سعر رمز Trust Wallet (TWT) أغلق عند $0.87، مسجلاً انخفاضًا بنسبة 2.24% خلال الـ 24 ساعة الماضية، مع أعلى سعر خلال اليوم عند $0.90 وأدنى عند $0.86. تفاعل السوق مع تقلب معتدل، دون إعادة تقييم واضحة باتجاه واحد.

توصيات للمستخدمين:

1. أوقف فورًا الإضافة v2.68 إذا كانت مثبتة لديك
2. قم بالتحديث إلى v2.69 من متجر Chrome Web Store الرسمي
3. حدد ما إذا كنت أدخلت عبارة seed أثناء تفعيل v2.68 — هذا هو السؤال الحاسم
4. إذا كانت الإجابة نعم: قم بنقل أموالك إلى محفظة جديدة؛ إذا كانت لا: فإن التحديث كافٍ
5. تجاهل أي تواصل لا يأتي من قنوات Trust Wallet الرسمية، حيث يحاول المحتالون انتحال شخصية الفريق أثناء التصحيح

أكدت Trust Wallet التزامها بإعادة الأموال لجميع المستخدمين المتضررين، وستشارك قريبًا تعليمات مفصلة حول عملية الاسترداد.