تم اختراق محفظة الثقة في عيد الميلاد، واستنزفت 7 ملايين دولار

أكدت Trust Wallet اختراق أدى إلى استنزاف ملايين الدولارات من أموال المستخدمين.

ما بدا في البداية كخسارة متفرقة في المحفظة تحول بسرعة إلى شيء أكثر خطورة: تم تأكيد اختراق سلسلة التوريد لإضافة متصفح كروم الرسمية من Trust Wallet.

اختراق محفظة صندوق عيد الميلاد

تعود الحادثة إلى 24 ديسمبر 2025، عندما أصدرت Trust Wallet الإصدار 2.68.0 من إضافة متصفح كروم.

جاء أول إنذار عام كبير من المحقق المتصل على السلسلة ZachXBT، الذي ربط استنزاف المحفظة مباشرة بتحديث v2.68 بينما كانت الأموال لا تزال قيد الحركة. ساعدت تحذيراته في تأطير الحادثة كحل وسط للامتداد وليس كخطأ على مستوى المستخدم.

في كثير من الحالات، كانت المحافظ تفرغ خلال دقائق من استيراد عبارة أولية أو الوصول إلى محفظة موجودة عبر الإضافة.

بحلول 26 ديسمبر، أصبحت الصورة أوضح، وأكدت Trust Wallet علنا أن إضافة المتصفح الإصدار 2.68 فقط هي التي تأثرت.

على الرغم من أن مستخدمي الهواتف المحمولة لم يتأثروا، نصحت الشركة جميع مستخدمي الإضافات بتعطيل الإصدار 2.68 فورا والترقية إلى الإصدار 2.69 عبر متجر كروم الرسمي على الإنترنت.

ما الذي حدث خطأ حقيقي؟

وصف الباحثون والمحققون على السلسلة الاستغلال بأنه هجوم مباشر في سلسلة التوريد، وليس تصيد احتيالي وليس خطأ من المستخدم.

وفقا لعدة تحليلات تم تداولها علنا، احتوى الامتداد المخترق على حمولة جافاسكريبت خبيثة مدمجة في ما بدا أنه كود تحليلات روتينية.

كان السكريبت، الذي يشار إليه غالبا كملف مشابه ل "4482.js"، يتنكر على أنه دمج على طريقة PostHog. وظيفته كانت بسيطة ومدمرة.

عندما يدخل المستخدمون أو يصلون إلى عبارة الاسترجاع، يتم سحب البيانات بصمت إلى البنية التحتية التي يتحكم بها المهاجم باستخدام نطاقات تشبه إلى حد كبير نقاط نهاية مقاييس محفظة الثقة الشرعية.

بمجرد أن يحصل المهاجمون على عبارة البذرة، لا حاجة لأي تفاعل إضافي. لم تكن هناك موافقات يمكن خداعها ولا معاملات لتوقيعها.

يمكن استعادة المحفظة في أماكن أخرى واستنزاف جميع البلوكشين المدعوم.

وهذا بالضبط ما لاحظه المحققون، حيث أثرت عمليات المسح السريعة متعددة السلاسل على البيتكوين، وشبكات التصويت الإلكتروني، وسولانا، وسلسلة BNB.

الأموال تلت إلى خدمات الصرف الفوري وCEX

بينما أشارت بعض التقارير إلى حوالي 2.8 مليون دولار في المصارف المؤكدة، تتبعت أخرى أكثر من 4 ملايين دولار تمر عبر الخدمات المحددة. ومع ذلك، أكدت Trust Wallet أن التأثير الإجمالي بلغ حوالي 7 ملايين دولار.

كما صرح مؤسس بينانس CZ، الذي استحوذت شركته على Trust Wallet في 2018، أن الخسائر كانت حوالي 7 ملايين دولار وأكد أن المستخدمين سيتم تعويضهم بالكامل.

كما أبرزت CZ أكثر القضايا إزعاجا أثارها الحادث: كيف تمكن إصدار خبيث من الوصول إلى متجر كروم ويب تحت علامة محفظة رسمية.

يكشف التحليل على السلسلة أن الأموال المسروقة تنقل بسرعة، حيث يتم تحويل جزء كبير منها عبر خدمات الصرف الفوري والمنصات المركزية.

أشار المتتبعون العامون إلى تدفقات إلى خدمات مثل ChangeNOW وFixedFloat، بالإضافة إلى منصات مثل KuCoin وHTX.

مع استمرار التحقيقات، حذرت Trust Wallet المستخدمين من تجاهل أي رسائل لا تأتي من القنوات الرسمية ل Trust Wallet.