سرقت کریسمس ارز دیجیتال: بیش از ۶ میلیون دلار خسارت، تحلیل هک کیف پول Trust Wallet در کروم

By: blockbeats|2026/04/17 12:57:06

اشتراک‌گذاری

عنوان اصلی: "Christmas Heist | Trust Wallet Browser Extension Wallet Hacked Analysis"

منبع اصلی: SlowMist Technology

Background

اوایل صبح امروز به وقت پکن، @zachxbt در کانال خود اعلام کرد: "برخی از کاربران Trust Wallet گزارش داده‌اند که موجودی آدرس‌های کیف پول آن‌ها در چند ساعت گذشته به سرقت رفته است." متعاقباً، حساب رسمی X کیف پول Trust Wallet نیز با انتشار بیانیه‌ای رسمی، وجود یک آسیب‌پذیری امنیتی در نسخه ۲.۶۸ افزونه مرورگر Trust Wallet را تأیید کرد و به تمام کاربرانی که از نسخه ۲.۶۸ استفاده می‌کنند توصیه کرد که فوراً این نسخه را غیرفعال کرده و به نسخه ۲.۶۹ ارتقا دهند.

سرقت کریسمس ارز دیجیتال: بیش از ۶ میلیون دلار خسارت، تحلیل هک کیف پول Trust Wallet در کروم

Tactics

پس از دریافت اطلاعات، تیم امنیتی SlowMist بلافاصله به تحلیل نمونه‌های مربوطه پرداخت. بیایید ابتدا کد اصلی نسخه‌های ۲.۶۷ و ۲.۶۸ منتشر شده قبلی را مقایسه کنیم:

با مقایسه کد این دو نسخه، ما کد مخربی را که توسط هکر اضافه شده بود، پیدا کردیم:

این کد مخرب تمام کیف پول‌های موجود در افزونه را پیمایش می‌کند، برای هر کیف پول کاربر یک درخواست "دریافت عبارت بازیابی" (mnemonic phrase) ارسال می‌کند تا عبارت بازیابی رمزگذاری‌شده کاربر را به دست آورد و در نهایت از رمز عبور یا passkeyPassword وارد شده توسط کاربر هنگام باز کردن قفل کیف پول برای رمزگشایی استفاده می‌کند. اگر رمزگشایی موفقیت‌آمیز باشد، عبارت بازیابی کاربر به دامنه مهاجم `api.metrics-trustwallet[.]com` ارسال می‌شود.

ما همچنین اطلاعات دامنه مهاجم را تحلیل کردیم؛ مهاجم از دامنه metrics-trustwallet.com استفاده کرده است.

پس از بررسی، زمان ثبت این دامنه مخرب 2025-12-08 02:28:18 بوده و ثبت‌کننده دامنه NICENIC INTERNATIONA است.

سوابق درخواست‌های هدف قرار دادن api.metrics-trustwallet[.]com از تاریخ 2025-12-21 آغاز شده است.

این مهر زمانی و کاشت بک‌دور با کد 12.22 تقریباً یکسان است.

ما به بازسازی کل فرآیند حمله از طریق تحلیل ردیابی کد ادامه می‌دهیم:

از طریق تحلیل پویا، می‌توان مشاهده کرد که پس از باز کردن قفل کیف پول، مهاجم اطلاعات عبارت بازیابی را در خطا در R1 پر کرده است.

و منبع این داده‌های خطا از طریق فراخوانی تابع GET_SEED_PHRASE به دست می‌آید. در حال حاضر، Trust Wallet از دو روش برای باز کردن قفل پشتیبانی می‌کند: رمز عبور و passkeyPassword. مهاجم در طول فرآیند باز کردن قفل، رمز عبور یا passkeyPassword را به دست آورد، سپس GET_SEED_PHRASE را فراخوانی کرد تا عبارت بازیابی کیف پول (و همچنین کلید خصوصی) را به دست آورد و سپس عبارت بازیابی را در "errorMessage" قرار داد.

در زیر کدی آمده است که از emit برای فراخوانی GetSeedPhrase جهت دریافت داده‌های عبارت بازیابی و پر کردن آن در خطا استفاده می‌کند.

تحلیل ترافیک انجام شده از طریق BurpSuite نشان می‌دهد که پس از به دست آوردن عبارت بازیابی، آن در فیلد errorMessage بدنه درخواست کپسوله شده و به یک سرور مخرب (https[://]api[.]metrics-trustwallet[.]com) ارسال می‌شود که با تحلیل قبلی مطابقت دارد.

از طریق فرآیند فوق، سرقت عبارت بازیابی/کلید خصوصی تکمیل می‌شود. علاوه بر این، مهاجم با کد منبع آشنا است و از پلتفرم تحلیل محصول چرخه عمر کامل متن‌باز PostHogJS برای جمع‌آوری اطلاعات کیف پول کاربر استفاده می‌کند.

Stolen Asset Analysis

(https://t.me/investigations/296)

طبق آدرس هکر فاش شده توسط ZachXBT، ما محاسبه کرده‌ایم که تا زمان انتشار، مجموع دارایی‌های سرقت شده در بلاک‌چین btc-42">Bitcoin تقریباً ۳۳ BTC (به ارزش حدود ۳ میلیون دلار)، دارایی‌های سرقت شده در بلاک‌چین Solana به ارزش حدود ۴۳۱ دلار و دارایی‌های سرقت شده در شبکه اصلی Ethereum و زنجیره‌های Layer 2 به ارزش حدود ۳ میلیون دلار است. پس از سرقت کوین‌ها، هکر از صرافی‌های ارز دیجیتال متمرکز مختلف و پل‌های میان‌زنجیره‌ای برای انتقال و مبادله برخی از دارایی‌ها استفاده کرد.

Summary

این حادثه بک‌دور از تغییر کد مخرب در پایگاه کد داخلی افزونه Trust Wallet (منطق سرویس تحلیلی) ناشی شده است، نه از معرفی یک بسته شخص ثالث دستکاری شده (مانند یک بسته npm مخرب). مهاجم مستقیماً کد خود برنامه را تغییر داد و از کتابخانه قانونی PostHog برای هدایت داده‌های تحلیلی به یک سرور مخرب استفاده کرد. بنابراین، ما دلیل داریم که باور کنیم این یک حمله APT حرفه‌ای بوده است، جایی که مهاجم ممکن است قبل از ۸ دسامبر کنترل دستگاه توسعه‌دهندگان مرتبط با Trust Wallet یا مجوزهای استقرار انتشار را به دست آورده باشد.

توصیه‌ها:

1. اگر افزونه کیف پول Trust Wallet را نصب کرده‌اید، باید فوراً به عنوان پیش‌شرط برای تحقیق و اقدامات، از اینترنت قطع شوید.

2. فوراً private key/عبارت بازیابی خود را صادر کرده و افزونه کیف پول Trust Wallet را حذف کنید.

3. پس از پشتیبان‌گیری از کلید خصوصی/عبارت بازیابی خود، فوراً دارایی‌های خود را به کیف پول دیگری منتقل کنید.

Original Article Link

قیمت --

ممکن است شما نیز علاقه‌مند باشید

لحظه پرداخت توسط ایجنت‌های هوش مصنوعی: چه کسی «استرایپ» اقتصاد ماشین خواهد شد؟

زیرساخت‌های رمزنگاری و سازمان‌های کارت اعتباری متقابلاً یکدیگر را نفی نمی‌کنند؛ برنده، دروازه واحدی است که هر دو مسیر را همزمان به هم متصل می‌کند.

گزارش صبحگاهی | MoonPay لایه اجرایی DFlow در شبکه Solana را خریداری کرد؛ Strategy گزارش مالی سه‌ماهه اول خود را منتشر کرد؛ Manta Network از پایان برنامه استیکینگ Manta خبر داد

مروری بر رویدادهای مهم بازار در ۶ مه

مسیرهای اجاره‌ای: این موج از پول داغ فارکس با استیبل‌کوین واقعاً بابت چه چیزی هزینه می‌کند؟

آنچه در بازار واقعاً در حال قیمت‌گذاری مجدد است، لایه بین صادرکنندگان استیبل‌کوین و اقتصاد واقعی است - یعنی لایه تراکنش.

سرعت گفتگو با اریک: مدیران مالی واقعاً به دنبال کدام حوزه استیبل‌کوین هستند؟

یک مدیر استراتژیک سابق Worldpay وارد حوزه کریپتو می‌شود: افشای اینکه چگونه Velocity با «حساب‌های پرداخت استیبل‌کوین» به دشوارترین مسائل مدیران مالی در زمینه تسویه حساب‌های برون‌مرزی و وجوه راکد می‌پردازد.

استراتژی باید اعلام می‌کرد که فروش ارزها منتفی نیست

اگر سیلور دارایی‌های خود را بفروشد، آیا بازار ارزهای دیجیتال سقوط خواهد کرد؟

چگونه MegaETH در عرض یک هفته پس از TGE به TVL هفتصد میلیون دلاری دست یافت؟ تحلیل استراتژی بسته‌بندی

MegaETH با استفاده از USDm یک چرخه بازخورد ایجاد کرد تا در کوتاه‌مدت کاربران و سرمایه زیادی را جذب کند.

ساعات معاملاتی فیوچرز: معامله ارز دیجیتال به صورت ۲۴/۷ و دریافت تا ۴۵٪ کارمزد معاملاتی

با ساعات معاملاتی فیوچرز و بهترین زمان برای معامله فیوچرز ارز دیجیتال آشنا شوید. بینش‌های بازار ۲۴/۷، ساعات اوج معاملات و نحوه دریافت تا ۴۵٪ کارمزدها را کشف کنید.