سرقة عيد الميلاد للعملات الرقمية: خسارة أكثر من 6 ملايين دولار، تحليل اختراق محفظة Trust Wallet على كروم

العنوان الأصلي: "Christmas Heist | Trust Wallet Browser Extension Wallet Hacked Analysis"

المصدر الأصلي: SlowMist Technology

Background

في وقت مبكر من صباح اليوم بتوقيت بكين، أعلن @zachxbt في قناته: "أبلغ بعض مستخدمي Trust Wallet أن الأموال الموجودة في عناوين محافظهم قد سُرقت في الساعات القليلة الماضية." وبعد ذلك، أصدر الحساب الرسمي لـ Trust Wallet على منصة X بياناً رسمياً يؤكد وجود ثغرة أمنية في الإصدار 2.68 من إضافة متصفح Trust Wallet، ونصح جميع المستخدمين الذين يستخدمون الإصدار 2.68 بتعطيل هذا الإصدار على الفور والترقية إلى الإصدار 2.69.

Tactics

بعد تلقي المعلومات، أجرى فريق أمن SlowMist تحليلاً فورياً للعينات ذات الصلة. دعونا نقارن أولاً الكود الأساسي للإصدارين 2.67 و 2.68 اللذين تم إصدارهما سابقاً:

من خلال مقارنة كود الإصدارين، وجدنا الكود الخبيث الذي أضافه المخترق:

سيقوم الكود الخبيث بمسح جميع المحافظ في الإضافة، وإجراء طلب "الحصول على عبارة الاسترداد" (mnemonic phrase) لكل محفظة مستخدم للحصول على عبارة الاسترداد المشفرة الخاصة بالمستخدم، وأخيراً استخدام كلمة المرور أو passkeyPassword التي أدخلها المستخدم عند فتح قفل المحفظة لفك التشفير. إذا نجح فك التشفير، سيتم إرسال عبارة الاسترداد الخاصة بالمستخدم إلى نطاق المهاجم `api.metrics-trustwallet[.]com`.

قمنا أيضاً بتحليل معلومات نطاق المهاجم؛ استخدم المهاجم النطاق: metrics-trustwallet.com.

بعد التحقيق، كان وقت تسجيل هذا النطاق الخبيث هو 2025-12-08 02:28:18، ومسجل النطاق هو: NICENIC INTERNATIONA.

بدأت سجلات الطلبات التي تستهدف api.metrics-trustwallet[.]com في 2025-12-21.

هذا الطابع الزمني وزرع الباب الخلفي بالكود 12.22 متطابقان تقريباً.

نواصل إعادة إنتاج عملية الهجوم بأكملها من خلال تحليل تتبع الكود:

من خلال التحليل الديناميكي، يمكن ملاحظة أنه بعد فتح قفل المحفظة، قام المهاجم بملء معلومات عبارة الاسترداد في الخطأ في R1.

ويتم الحصول على مصدر بيانات الخطأ هذه من خلال استدعاء دالة GET_SEED_PHRASE. حالياً، تدعم Trust Wallet طريقتين لفتح القفل: كلمة المرور و passkeyPassword. قام المهاجم، أثناء عملية فتح القفل، بالحصول على كلمة المرور أو passkeyPassword، ثم استدعى GET_SEED_PHRASE للحصول على عبارة الاسترداد للمحفظة (وكذلك المفتاح الخاص)، ثم وضع عبارة الاسترداد في "errorMessage".

فيما يلي الكود الذي يستخدم emit لاستدعاء GetSeedPhrase للحصول على بيانات عبارة الاسترداد وملئها في الخطأ.

يُظهر تحليل حركة المرور الذي تم إجراؤه من خلال BurpSuite أنه بعد الحصول على عبارة الاسترداد، يتم تغليفها في حقل errorMessage الخاص بجسم الطلب وإرسالها إلى خادم خبيث (https[://]api[.]metrics-trustwallet[.]com)، وهو ما يتوافق مع التحليل السابق.

من خلال العملية المذكورة أعلاه، تكتمل عملية سرقة عبارة الاسترداد/المفتاح الخاص. بالإضافة إلى ذلك، فإن المهاجم على دراية بالكود المصدري ويستخدم منصة تحليل منتجات دورة الحياة الكاملة مفتوحة المصدر PostHogJS لجمع معلومات محفظة المستخدم.

Stolen Asset Analysis

(https://t.me/investigations/296)

وفقاً لعنوان المخترق الذي كشف عنه ZachXBT، قمنا بحساب أنه حتى وقت النشر، فإن إجمالي الأصول المسروقة على بلوكتشين btc-42">Bitcoin يبلغ حوالي 33 BTC (بقيمة حوالي 3 ملايين دولار أمريكي)، والأصول المسروقة على بلوكتشين Solana تبلغ قيمتها حوالي 431 دولاراً أمريكياً، والأصول المسروقة على شبكة Ethereum الرئيسية وسلاسل Layer 2 تبلغ قيمتها حوالي 3 ملايين دولار أمريكي. بعد سرقة العملات، استخدم المخترق العديد من منصات التداول المركزية وجسور السلاسل لنقل وتبادل بعض الأصول.

Summary

نشأت حادثة الباب الخلفي هذه من تعديل كود خبيث على قاعدة الكود الداخلية لإضافة Trust Wallet (منطق خدمة التحليلات)، بدلاً من إدخال حزمة طرف ثالث تم التلاعب بها (مثل حزمة npm خبيثة). قام المهاجم بتغيير كود التطبيق نفسه مباشرة، باستخدام مكتبة PostHog المشروعة لإعادة توجيه بيانات التحليلات إلى خادم خبيث. لذلك، لدينا سبب للاعتقاد بأن هذا كان هجوم APT احترافياً، حيث ربما حصل المهاجم على السيطرة على أجهزة مطوري Trust Wallet أو أذونات نشر الإصدار قبل 8 ديسمبر.

توصيات:

1. إذا قمت بتثبيت إضافة محفظة Trust Wallet، فيجب عليك قطع الاتصال بالإنترنت فوراً كشرط أساسي للتحقيق واتخاذ الإجراءات.

2. قم بتصدير الـ private key/عبارة الاسترداد الخاصة بك فوراً وقم بإلغاء تثبيت إضافة محفظة Trust Wallet.

3. بعد نسخ المفتاح الخاص/عبارة الاسترداد احتياطياً، قم بتحويل أموالك فوراً إلى محفظة أخرى.

Original Article Link