آیا Trust Wallet هک شده؟ جزئیات حمله به مهمترین کیف پول ارز دیجیتال و دارایی کاربران

چه اتفاقی برای تراست ولت افتاده است؟

در ۲۴–۲۵ دسامبر ۲۰۲۵، نسخه ۲.۶۸ افزونه مرورگر Chrome کیف پول Trust Wallet که متعلق به صرافی بزرگ Binance است منتشر شد. این نسخه حاوی کد مخرب بوده که باعث شده کاربران هنگام وارد کردن seed phrase (عبارت بازیابی) کیف پول، اطلاعات محرمانه‌شان به مهاجمان ارسال شود و دارایی‌شان بدون اجازه بیرون کشیده شود. 

میزان ضرر چقدر است؟

مجموعاً حدود ۷ میلیون دلار دارایی کاربران طی این حمله به سرقت رفته است. کاربران متأثر از طیف آدرس‌های مختلف در بلاک‌چین‌های متعدد دارایی از جمله بیت‌کوین، اتریوم و توکن‌های EVM و سولانا را از دست داده‌اند. بر اساس تحلیل‌هایی از زنجیره، بخشی از دارایی‌های سرقت‌شده سریعاً به صرافی‌ها و سرویس‌های تبدیل منتقل شده‌اند.

چه چیزی هک شد؟

نکته مهم این است که فقط افزونه Chrome نسخهٔ 2.68 تحت تأثیر بوده و هک شده است؛ نسخه‌های موبایل Trust Wallet یا نسخه‌های غیر-Chrome در این حمله آسیبی ندیده‌اند.

چگونه این اتفاق رخ داد؟

بر اساس تحلیل‌های امنیتی، مهاجمان با نوعی حمله زنجیره تأمین (Supply Chain Attack)، کد مخرب را در خود بستهٔ رسمی افزونه قرار داده‌اند؛ این کد به‌صورت مخفیانه seed phrase کاربر را می‌دزدیده و به سرور مهاجمان ارسال می‌کرده است؛ به محض دزیده شدن seed phrase، مهاجمان قادر بوده‌اند دارایی را منتقل کنند. این روش خطرناک‌تر از معمول‌ترین هک‌هاست زیرا از روش‌های استاندارد قابل‌تشخیص نیست و در نگاه اول مثل یک به‌روزرسانی عادی به نظر می‌رسد.

واکنش تیم Trust Wallet و Binance

تیم Trust Wallet سریعاً نسخهٔ ۲.۶۹ را منتشر کرد تا کد مخرب حذف شود و همه کاربران را تشویق کرده‌اند نسخهٔ قدیمی را غیرفعال و به‌روزرسانی کنند. چانگ‌پنگ ژائو (Changpeng Zhao)، مؤسس Binance، اعلام کرده که تمام کاربران آسیب‌دیده به‌طور کامل جبران خسارت خواهند شد و سرمایه‌شان بازپرداخت می‌شود.

هشدارهای امنیتی مهم

این حادثه نشان می‌دهد حتی ابزارهای معروف و معتبر نیز می‌توانند به‌وسیله‌ی حملات زنجیره تأمین، کد مخرب در به‌روزرسانی، و فریب در ظاهر رسمی تحت حمله قرار بگیرند.

توصیه‌های مهم امنیتی:

-سعی کنید از صرافی ارز دیجیتال ایرانی برای نگهداری ارزهای دیجیتال استفاده کنید.

-اگر از نسخهٔ 2.68 استفاده کرده‌اید، باقی‌مانده دارایی‌ها را هر چه زودتر به یک کیف پول جدید منتقل کنید.

-به phishing سایت‌ها و لینک‌های «رفع مشکل» توجه نکنید (بسیاری با هدف سرقت seed phrase ساخته شده‌اند).

-همیشه افزونه‌ها را فقط از منابع رسمی مثل Chrome Web Store بردارید و بعد از به‌روزرسانی بررسی‌های امنیتی انجام دهید.

جمع‌بندی

-نسخهٔ ۲.۶۸ افزونه Chrome کیف پول Trust Wallet هک شد.
-حدود ۷ میلیون دلار دارایی کاربران دزدیده شد.
-حمله از نوع supply-chain بود (کد مخرب در به‌روزرسانی رسمی).
-Trust Wallet نسخهٔ جدید 2.69 را منتشر و کاربران را تشویق به به‌روزرسانی کرده است.
-Binance تضمین داده که آسیب‌دیدگان به‌طور کامل جبران می‌شوند.