تمت سرقة أكثر من 6 ملايين دولار: تعرض كود مصدر Trust Wallet لهجوم، لماذا أصبح الإصدار الرسمي بابًا خلفيًا للهاكرز؟

العنوان الأصلي: "تعرض إضافة Trust Wallet للهجوم وخسارة أكثر من 6 ملايين دولار، والإدارة تصدر تصحيحاً عاجلاً"

الكاتب الأصلي: ChandlerZ، Foresight News

في صباح 26 ديسمبر، أصدرت Trust Wallet تحذيراً أمنياً، مؤكدة وجود ثغرة أمنية في إصدار إضافة متصفح Trust Wallet رقم 2.68. يجب على المستخدمين الذين يستخدمون هذا الإصدار تعطيل الإضافة فوراً وترقيتها إلى الإصدار 2.69، ويرجى التحديث عبر رابط Chrome Web Store الرسمي.

وبحسب مراقبة PeckShield، فقد استغل القراصنة ثغرة Trust Wallet لسرقة أكثر من 6 ملايين دولار من أصول التشفير من الضحايا.

حالياً، لا يزال حوالي 2.8 مليون دولار من الأموال المسروقة في محفظة القراصنة (Bitcoin / EVM / Solana)، بينما تم تحويل أكثر من 4 ملايين دولار من الأصول المشفرة إلى منصات تداول مركزية، بما في ذلك: حوالي 3.3 ملايين دولار إلى ChangeNOW، حوالي 340 ألف دولار إلى FixedFloat، وحوالي 447 ألف دولار إلى Kucoin.

مع تزايد عدد الضحايا، بدأ تدقيق الكود لإصدار Trust Wallet 2.68 على الفور. اكتشف فريق التحليل الأمني SlowMist، من خلال مقارنة الكود المصدري بين الإصدار 2.68.0 (الإصدار المصاب) والإصدار 2.69.0 (الإصدار المصحح)، أن القراصنة زرعوا كوداً لجمع البيانات يبدو رسمياً، مما حول الإضافة الرسمية إلى باب خلفي لسرقة الخصوصية.

تحليل: من المحتمل أن تكون أجهزة أو مستودعات كود مطوري Trust Wallet تحت سيطرة المهاجمين

وفقاً لتحليل فريق SlowMist الأمني، فإن الناقل الأساسي لهذا الهجوم هو إصدار إضافة متصفح Trust Wallet رقم 2.68.0. من خلال مقارنة الإصدار المصحح 2.69.0، اكتشف خبراء الأمن كوداً خبيثاً متنكراً بشكل جيد في الإصدار القديم. كما هو موضح في الصورة.

أضاف الكود الخلفي أداة PostHog لجمع مختلف معلومات الخصوصية لمستخدمي المحفظة (بما في ذلك العبارات الأولية)، وإرسالها إلى خادم المهاجم api.metrics-trustwallet [.] com.

استناداً إلى تغييرات الكود والنشاط على السلسلة، قدمت SlowMist الجدول الزمني المتوقع لهذا الهجوم:

· 8 ديسمبر: بدأ المهاجم التحضيرات ذات الصلة؛

· 22 ديسمبر: تم إطلاق الإصدار 2.68 المزروع بالباب الخلفي بنجاح؛

· 25 ديسمبر: استغل المهاجم عطلة عيد الميلاد وبدأ في نقل الأموال بناءً على العبارات الأولية المسروقة، ثم تم كشف الحادثة.

بالإضافة إلى ذلك، تعتقد SlowMist أن المهاجم يبدو على دراية كبيرة بكود مصدر إضافة Trust Wallet. ومن الجدير بالذكر أن الإصدار المصحح الحالي (2.69.0) قطع النقل الخبيث، لكنه لم يزل مكتبة PostHog JS.

في الوقت نفسه، نشر رئيس أمن المعلومات في SlowMist، 23pds، على وسائل التواصل الاجتماعي قائلاً: "بعد تحليل SlowMist، هناك سبب للاعتقاد بأن أجهزة أو مستودعات كود مطوري Trust Wallet قد تكون تحت سيطرة المهاجمين، يرجى فصل الأجهزة عن الإنترنت والتحقق منها فوراً." وأشار إلى أن "المستخدمين المتأثرين بإصدار Trust Wallet يجب عليهم فصل الإنترنت أولاً، ثم تصدير العبارات الأولية ونقل الأصول، وإلا سيتم سرقة الأصول عند فتح المحفظة عبر الإنترنت. من لديه نسخة احتياطية من العبارات الأولية يجب أن ينقل الأصول أولاً ثم يحدّث المحفظة."

تكرار حوادث الأمان في الإضافات

كما أشار إلى أن المهاجم يبدو على دراية كبيرة بكود مصدر إضافة Trust Wallet، وزرع PostHog JS لجمع مختلف معلومات محفظة المستخدم. حالياً، لم يزل الإصدار المصحح من Trust Wallet مكتبة PostHog JS.

تحول الإصدار الرسمي من Trust Wallet إلى حصان طروادة، مما ذكّر السوق بعدة هجمات خطيرة استهدفت الواجهات الأمامية للمحافظ الساخنة في السنوات الأخيرة. من أساليب الهجوم إلى أسباب الثغرات، توفر هذه الحالات مرجعاً هاماً لفهم هذا الحادث.

· عندما تصبح القنوات الرسمية غير آمنة

أقرب حادث لهذا الذي تعرضت له Trust Wallet هو الهجمات على سلسلة التوريد البرمجية وقنوات التوزيع. في مثل هذه الحوادث، لم يرتكب المستخدمون أي خطأ، بل تضرروا لأنهم قاموا بتنزيل "برنامج رسمي".

حادثة تسميم Ledger Connect Kit (ديسمبر 2023): تعرض مستودع كود الواجهة الأمامية لمحفظة الأجهزة Ledger لهجوم تصيد، حيث حصل القراصنة على صلاحيات ورفعوا حزمة تحديث خبيثة. أدى ذلك إلى تلوث واجهات أمامية لعدة dApp رئيسية مثل SushiSwap، مع ظهور نوافذ اتصال مزيفة. اعتُبرت هذه الحادثة مثالاً تعليمياً على "هجمات سلسلة التوريد"، وأثبتت أن حتى الشركات ذات السمعة الأمنية العالية، تظل قنوات توزيع Web2 (مثل NPM) نقاط ضعف حرجة.

حادثة اختطاف إضافات Hola VPN وMega (2018): في عام 2018، تم اختراق حساب مطور إضافة Chrome لخدمة VPN الشهيرة Hola. دفع القراصنة "تحديثاً رسمياً" يحتوي على كود خبيث، يراقب ويسرق مفاتيح MyEtherWallet الخاصة.

· عيوب الكود: مخاطر كشف العبارات الأولية

بالإضافة إلى التسميم الخارجي، فإن العيوب في معالجة المحافظ للعبارات الأولية ومواد المفاتيح الخاصة قد تؤدي أيضاً إلى خسائر كبيرة في الأصول.

جدل حول جمع نظام سجلات Slope Wallet لمعلومات حساسة (أغسطس 2022): شهد نظام Solana البيئي حادثة سرقة عملات واسعة النطاق، وأشارت التقارير إلى أن أحد أسباب الحادث هو أن إصداراً من محفظة Slope أرسل المفاتيح الخاصة أو العبارات الأولية إلى خدمة Sentry (وهي خدمة نشرها فريق Slope بشكل خاص وليست الخدمة الرسمية من Sentry). ومع ذلك، أشارت شركات الأمن إلى أن التحقيق في تطبيق Slope Wallet لم يحدد بعد السبب الجذري للحادث، وهناك الكثير من العمل الفني المطلوب، وهناك حاجة لمزيد من الأدلة لتفسير السبب الأساسي لهذا الحادث.

ثغرة توليد المفاتيح منخفضة العشوائية في Trust Wallet (تم الكشف عنها باسم CVE-2023-31290، والاستغلال يعود إلى 2022 / 2023): تم الكشف عن أن إضافة متصفح Trust Wallet تعاني من مشكلة في العشوائية: يمكن للمهاجمين استغلال إمكانية التعداد الناتجة عن استخدام بذرة 32-بت فقط، لتحديد واستنتاج عناوين المحافظ المتأثرة بكفاءة ضمن نطاق إصدارات محددة، ومن ثم سرقة الأموال.

· صراع بين "الأصلي" و"المزيف"

لطالما انتشرت إضافات المحافظ المزيفة، وصفحات التنزيل المزيفة، ونوافذ التحديث المزيفة، ورسائل الدعم المزيفة ضمن منظومة البحث في المتصفحات. إذا قام المستخدم بتثبيت إضافة من قناة غير رسمية أو أدخل العبارة الأولية / المفتاح الخاص في صفحة تصيد، فقد يتم مسح أصوله فوراً. وعندما تتطور الحوادث ليصبح الإصدار الرسمي نفسه معرضاً للخطر، يضيق هامش الأمان للمستخدمين أكثر، وغالباً ما تزداد عمليات الاحتيال الثانوية في ظل الفوضى.

حتى وقت كتابة هذا التقرير، حثت Trust Wallet جميع المستخدمين المتأثرين على إكمال التحديث في أسرع وقت ممكن. ومع استمرار تحركات الأموال المسروقة على السلسلة، من الواضح أن تداعيات "سرقة عيد الميلاد" لم تنته بعد.

سواء كانت سجلات Slope النصية أو الباب الخلفي الخبيث في Trust Wallet، فإن التاريخ يعيد نفسه بشكل مذهل. ويذكر هذا كل مستخدم للعملات المشفرة بعدم الثقة العمياء في أي برنامج واحد. الفحص المنتظم للصلاحيات، وتوزيع الأصول، والحذر من التحديثات غير المعتادة، قد تكون هي قواعد البقاء في غابة التشفير المظلمة.