كيف تم تصريف الملايين: أزمة امتداد متصفح Trust Wallet

الأضرار أولاً: ما خسره المستخدمون

في ديسمبر، اكتشف مستخدمو إضافة متصفح Trust Wallet شيئًا مرعبًا — تم تفريغ محافظهم تمامًا. خلال دقائق من استيراد عبارات الم seed، اختفت الأموال عبر معاملات متعددة. لم يكن الأمر تدريجيًا؛ كان فوريًا وآليًا. تم تحويل ملايين الأصول إلى عناوين يسيطر عليها المهاجمون قبل أن يتمكن المستخدمون من الرد.

سرعة وحجم الهجوم أشار إلى شيء أسوأ بكثير من التصيد الاحتيالي العادي: كان للمهاجمين بالفعل صلاحية التوقيع.

التتبع: كيف حدث الاختراق

بدأت سلسلة الأحداث مع تحديث روتيني بدا في 24 ديسمبر. إصدار جديد من إضافة متصفح Trust Wallet تم طرحه بدون أي علامات حمراء واضحة. قام المستخدمون بالتحديث بشكل طبيعي، متوقعين تصحيحات أمان قياسية.

لكن داخل هذا الإصدار كان هناك شيء خبيث.

السلاح المخفي: رمز مخفي في العلن

اكتشف باحثو الأمان رمز جافا سكريبت جديد (ملف 4482.js) مدمج في الإضافة. الجزء الذكي؟ تم تمويهه على أنه تتبع تحليلات أو قياس الأداء — نوع من رموز المراقبة التي تستخدمها كل التطبيقات. لم يكن ينشط باستمرار أيضًا. بدلاً من ذلك، كان في حالة سكون حتى يحدث محفز معين.

بالنسبة لمحافظ المتصفح، هذا مجال حرج. أي اتصال خارجي غير متوقع من إضافة محفظة يمثل أقصى مخاطر لأنه يمتلك وصولاً مباشرًا إلى المفاتيح الخاصة ووظائف التوقيع.

لحظة التحفيز: عندما يتم إدخال عبارات الم seed في المحفظة

لم يُفعل الرمز الخبيث إلا عندما قام المستخدمون باستيراد عبارة الم seed إلى الإضافة. هذه هي اللحظة الدقيقة التي تسيطر فيها المحفظة على أموالك بالكامل. إنها عملية مرة واحدة، عالية المخاطر — وكان المهاجمون قد خططوا لضربتهم بشكل مثالي.

المستخدمون الذين لم يستوردوا عبارات الم seed (استخدموا محافظ موجودة مسبقًا فقط) نجوا من الهجوم. أما من استوردوا؟ أصبحوا أهدافًا.

التواصل مع المجرمين: النطاق المزيف

عندما تم تفعيل المحفز، تواصل الرمز المُحقن مع خادم خارجي: metrics-trustwallet[.]com

تم تصميم اسم النطاق ليبدو شرعيًا — مثل نطاق فرعي حقيقي لـ Trust Wallet. لكنه تم تسجيله قبل أيام فقط، ولم يُوثق رسميًا أبدًا، واختفى عبر الإنترنت بعد فترة قصيرة من كشف المخطط.

هذا الاتصال الخارجي مثل اللحظة التي أكد فيها المهاجمون أنهم نجحوا في تثبيت حمولة خبيثة ويمكنهم البدء في سحب المحافظ.

التنفيذ: سحب المحافظ في الوقت الحقيقي

بمجرد أن تلقى المهاجمون إشارة إلى أن عبارة الم seed قد تم استيرادها، تحركوا بدقة:

• بدأت سلاسل المعاملات الآلية على الفور
• تم تقسيم الأصول عبر عناوين مهاجمين متعددة
• لم تكن هناك نوافذ منبثقة للموافقة أو توقيعات مطلوبة من المستخدم
• تم التجميع عبر عدة محافظ لتشتيت أثر الهجوم

لم يكن لدى الضحايا فرصة للتدخل. بحلول الوقت الذي أدركوا فيه أن محافظهم فارغة، كان المهاجمون قد نقلوا الأموال بالفعل عبر بنيتهم التحتية.

لماذا كان هذا الهجوم خطيرًا جدًا

لم يكن هذا سرقة محفظة عادية. كشف عن عدة ثغرات حرجة:

إضافات المتصفح عالية المخاطر: لديها وصول أعمق للنظام من تطبيقات الويب ويمكنها اعتراض الوظائف الحساسة.

الهجمات على سلسلة التوريد حقيقية: تحديث واحد مخترق يمكن أن يؤثر على مئات الآلاف من المستخدمين في وقت واحد.

استيراد عبارة الم seed هو اللحظة الحرجة: هذه هي اللحظة التي تكون فيها المحفظة أكثر عرضة للخطر — فهم المهاجمين ذلك واستغلوه كسلاح.

التوثيق المزيف يعمل: اسم نطاق يحاكي البنية التحتية الشرعية يمكن أن يخفي بنية خبيثة في العلن.

ما تم تأكيده

• نسخة محددة من إضافة متصفح Trust Wallet تحتوي على رمز مُحقن
• فقدان المستخدمين لمبالغ كبيرة بعد استيراد عبارات الم seed
• توقف النطاق الخبيث عن العمل بعد الكشف عنه
• اعترفت Trust Wallet رسميًا بحدوث حادث أمني
• الهجوم كان محدودًا على إضافة المتصفح؛ لم يتأثر مستخدمو الهاتف المحمول

ما لا يزال غير واضح

• ما إذا كان هذا اختراقًا في سلسلة التوريد أو تخريبًا متعمدًا
• العدد الدقيق للمستخدمين المتأثرين
• إجمالي المبالغ المسحوبة عالميًا
• ما إذا تم جمع عبارات الم seed لهجمات مستقبلية
• من نظم الهجوم

الدروس المستفادة: لا تثق بأحد بشكل أعمى

كشفت هذه الحادثة عن واقع أمان العملات الرقمية في 2024: حتى التطبيقات المعروفة يمكن أن تتعرض للاختراق. إضافات المتصفح خطيرة بشكل خاص لأنها تعمل في مساحة حساسة بين جهازك وأصولك.

يجب على المستخدمين اعتبار استيراد عبارات الم seed اللحظة الأهم من حيث الأمان. يجب التعامل مع أي تحديث بحذر. ودائمًا حافظ على طبقات حماية متعددة بدلاً من الاعتماد على أداة واحدة فقط.

حادثة Trust Wallet تثبت أنه حتى ملايين المستخدمين واسم علامة تجارية معروفة لا يمكنها ضمان الأمان. اليقظة هي التدبير الأمني الحقيقي الوحيد.