تعتبر ثغرة إضافة Trust Wallet على متصفح Chrome حادثة أمنية خطيرة أدت إلى خسارة ملايين الدولارات. في هذا المقال، نستعرض تفاصيل الحادثة والإجراءات التي يجب على المستخدمين اتخاذها.
تحذير من ثغرة في إضافة Trust Wallet على متصفح Chrome
أصدرت Trust Wallet تحذيراً لمستخدميها بضرورة تحديث إضافة Google Chrome الخاصة بها إلى أحدث إصدار بعد ما وصفته بـ “حادثة أمنية” أدت إلى خسارة تقدر بحوالي 7 ملايين دولار.
تؤثر المشكلة، وفقاً لخدمة المحفظة الرقمية غير الحافظة متعددة السلاسل، على الإصدار 2.68. تحتوي الإضافة على حوالي مليون مستخدم، وفقاً لقائمة متجر Chrome. يُنصح المستخدمون بالتحديث إلى الإصدار 2.69 في أقرب وقت ممكن.
قالت Trust Wallet في منشور على منصة X: “لقد أكدنا أن حوالي 7 ملايين دولار قد تأثرت وسنضمن تعويض جميع المستخدمين المتأثرين”. “دعم المستخدمين المتأثرين هو أولويتنا القصوى، ونحن نعمل بنشاط على إنهاء عملية تعويض المتضررين.”
كما تحث Trust Wallet المستخدمين على الامتناع عن التفاعل مع أي رسائل لا تأتي من قنواتها الرسمية. لم يتأثر المستخدمون الذين يستخدمون التطبيق على الهواتف المحمولة أو أي إصدارات أخرى من الإضافات.
تفاصيل الثغرة
وفقاً للتفاصيل التي شاركتها SlowMist، أدخل الإصدار 2.68 رمزاً خبيثاً مصمماً للتكرار عبر جميع المحافظ المخزنة في الإضافة وطلب عبارة mnemonic لكل محفظة.
قالت الشركة المتخصصة في أمان البلوكشين: “يتم فك تشفير mnemonic المشفر باستخدام كلمة المرور أو مفتاح الوصول المدخل أثناء فتح المحفظة”. “بمجرد فك التشفير، يتم إرسال عبارة mnemonic إلى خادم المهاجم api.metrics-trustwallet[.]com.”
تم تسجيل النطاق “metrics-trustwallet[.]com” في 8 ديسمبر 2025، وبدأت أول طلبات إلى “api.metrics-trustwallet[.]com” في 21 ديسمبر 2025.
كشفت التحليلات الإضافية أن المهاجم استغل مكتبة تحليل السلاسل الكاملة مفتوحة المصدر المسماة posthog-js لجمع معلومات مستخدمي المحافظ.
تشمل الأصول الرقمية التي تم سحبها حتى الآن حوالي 3 ملايين دولار من البيتكوين، و431 دولاراً من سولانا، وأكثر من 3 ملايين دولار من الإيثيريوم. تم نقل الأموال المسروقة عبر البورصات المركزية والجسور عبر السلاسل لغسلها وتبديلها. وفقاً لتحديث شاركه المحقق في البلوكشين ZachXBT، أدت الحادثة إلى وقوع مئات الضحايا.
“بينما تبقى حوالي 2.8 مليون دولار من الأموال المسروقة في محافظ القراصنة (بيتكوين/ EVM/ سولانا)، تم إرسال الجزء الأكبر – أكثر من 4 ملايين دولار في العملات المشفرة – إلى بورصات مركزية: حوالي 3.3 مليون دولار إلى ChangeNOW، وحوالي 340,000 دولار إلى FixedFloat، وحوالي 447,000 دولار إلى KuCoin”، حسبما ذكرت PeckShield.
قالت SlowMist: “هذه الحادثة جاءت نتيجة تعديل خبيث في كود إضافة Trust Wallet الداخلية (منطق التحليلات)، بدلاً من وجود تبعية طرف ثالث مخترقة (مثل حزمة npm خبيثة)”.
تحقيقات مستمرة
قالت الشركة إنه من الممكن أن يكون هذا العمل من تنفيذ جهة حكومية، مضيفة أن المهاجمين قد يكونون قد حصلوا على السيطرة على أجهزة المطورين المتعلقة بـ Trust Wallet أو حصلوا على أذونات النشر قبل 8 ديسمبر 2025.
أشار تشانغ بينغ زهاو، أحد مؤسسي بورصة العملات الرقمية Binance التي تمتلك Trust Wallet، إلى أن الاستغلال كان “على الأرجح” من تنفيذ شخص داخل الشركة، على الرغم من عدم تقديم أي دليل إضافي لدعم هذه النظرية.
تحديثات للمستخدمين المتأثرين
في تحديث لاحق، حثت Trust Wallet المستخدمين المتأثرين على ملء نموذج على مكتب الدعم الخاص بها في “trustwallet-support.freshdesk[.]com” لبدء عملية التعويض. طُلب من الضحايا تقديم عنوان بريدهم الإلكتروني، بلد الإقامة، عنوان المحفظة المخترقة، العنوان الذي تم تحويل الأموال إليه، ورموز المعاملات المقابلة.
“نحن نشهد عمليات احتيال عبر إعلانات Telegram، ونماذج ‘تعويض’ مزيفة، وحسابات دعم مقلدة، ورسائل مباشرة”، حذرت الشركة. “تحقق دائماً من الروابط، ولا تشارك عبارة الاسترداد الخاصة بك، واستخدم قنوات Trust Wallet الرسمية فقط.”
قالت إوين تشين، الرئيسة التنفيذية لـ Trust Wallet، إن التحقيق في الحادثة جارٍ، مؤكدة أن المشكلة تؤثر فقط على مستخدمي إضافة متصفح Chrome الإصدار 2.68 الذين قاموا بتسجيل الدخول قبل 26 ديسمبر 2025، الساعة 11 صباحاً بتوقيت UTC.
“لم يتم إصدار الإضافة الخبيثة v2.68 من خلال عمليتنا الداخلية اليدوية”، قالت تشين. “تشير نتائجنا الحالية إلى أنه تم نشرها على الأرجح من خلال مفتاح API لمتجر Chrome، متجاوزةً فحوصات الإصدار القياسية لدينا.”
“استخدم القراصنة مفتاح API مسرب لمتجر Chrome لتقديم الإصدار الخبيث v2.68. وقد اجتاز هذا الفحص الخاص بمتجر Chrome وتم إصداره في 24 ديسمبر 2025، الساعة 12:32 مساءً بتوقيت UTC.”
بعد اكتشاف الثغرة، قالت تشين إن الشركة اتخذت خطوة تعليق النطاق الخبيث، وانتهت من جميع واجهات برمجة التطبيقات للإصدار، وبدأت معالجة تعويض الضحايا المتأثرين.
كشفت Trust Wallet منذ ذلك الحين أنها حددت 2,596 عنوان محفظة تأثرت نتيجة لتحديث الإضافة الخبيثة.
“من هذه المجموعة، تلقينا حوالي 5,000 مطالبة مما يشير إلى عدد كبير من التقديمات المزيفة أو المكررة التي تحاول الوصول إلى تعويضات الضحايا”، قالت تشين. “بسبب ذلك، فإن التحقق الدقيق من ملكية المحفظة أمر بالغ الأهمية لضمان عودة الأموال إلى الأشخاص المناسبين.”
(تم تحديث القصة بعد النشر لتعكس أحدث التطورات.)
تظل أمان العملات الرقمية موضوعًا حساسًا، ويجب على المستخدمين اتخاذ الاحتياطات اللازمة لحماية أصولهم. تابعوا تحديثات Trust Wallet للحصول على أحدث المعلومات.
