logo

سرقت کریسمس ارز دیجیتال: بیش از ۶ میلیون دلار خسارت، تحلیل هک کیف پول Trust Wallet در کروم

By: blockbeats|2026/04/17 12:57:06
0
اشتراک‌گذاری
copy
xx
BTCBTC
--
ETHETH
--
REQREQ
--
SOLSOL
--
sourcesource
when-vipwhen-vip
عنوان اصلی: "Christmas Heist | Trust Wallet Browser Extension Wallet Hacked Analysis"
منبع اصلی: SlowMist Technology

Background

اوایل صبح امروز به وقت پکن، @zachxbt در کانال خود اعلام کرد: "برخی از کاربران Trust Wallet گزارش داده‌اند که موجودی آدرس‌های کیف پول آن‌ها در چند ساعت گذشته به سرقت رفته است." متعاقباً، حساب رسمی X کیف پول Trust Wallet نیز با انتشار بیانیه‌ای رسمی، وجود یک آسیب‌پذیری امنیتی در نسخه ۲.۶۸ افزونه مرورگر Trust Wallet را تأیید کرد و به تمام کاربرانی که از نسخه ۲.۶۸ استفاده می‌کنند توصیه کرد که فوراً این نسخه را غیرفعال کرده و به نسخه ۲.۶۹ ارتقا دهند.

سرقت کریسمس ارز دیجیتال: بیش از ۶ میلیون دلار خسارت، تحلیل هک کیف پول Trust Wallet در کروم

Tactics

پس از دریافت اطلاعات، تیم امنیتی SlowMist بلافاصله به تحلیل نمونه‌های مربوطه پرداخت. بیایید ابتدا کد اصلی نسخه‌های ۲.۶۷ و ۲.۶۸ منتشر شده قبلی را مقایسه کنیم:

با مقایسه کد این دو نسخه، ما کد مخربی را که توسط هکر اضافه شده بود، پیدا کردیم:

این کد مخرب تمام کیف پول‌های موجود در افزونه را پیمایش می‌کند، برای هر کیف پول کاربر یک درخواست "دریافت عبارت بازیابی" (mnemonic phrase) ارسال می‌کند تا عبارت بازیابی رمزگذاری‌شده کاربر را به دست آورد و در نهایت از رمز عبور یا passkeyPassword وارد شده توسط کاربر هنگام باز کردن قفل کیف پول برای رمزگشایی استفاده می‌کند. اگر رمزگشایی موفقیت‌آمیز باشد، عبارت بازیابی کاربر به دامنه مهاجم `api.metrics-trustwallet[.]com` ارسال می‌شود.

ما همچنین اطلاعات دامنه مهاجم را تحلیل کردیم؛ مهاجم از دامنه metrics-trustwallet.com استفاده کرده است.

پس از بررسی، زمان ثبت این دامنه مخرب 2025-12-08 02:28:18 بوده و ثبت‌کننده دامنه NICENIC INTERNATIONA است.

سوابق درخواست‌های هدف قرار دادن api.metrics-trustwallet[.]com از تاریخ 2025-12-21 آغاز شده است.

این مهر زمانی و کاشت بک‌دور با کد 12.22 تقریباً یکسان است.

ما به بازسازی کل فرآیند حمله از طریق تحلیل ردیابی کد ادامه می‌دهیم:

از طریق تحلیل پویا، می‌توان مشاهده کرد که پس از باز کردن قفل کیف پول، مهاجم اطلاعات عبارت بازیابی را در خطا در R1 پر کرده است.

و منبع این داده‌های خطا از طریق فراخوانی تابع GET_SEED_PHRASE به دست می‌آید. در حال حاضر، Trust Wallet از دو روش برای باز کردن قفل پشتیبانی می‌کند: رمز عبور و passkeyPassword. مهاجم در طول فرآیند باز کردن قفل، رمز عبور یا passkeyPassword را به دست آورد، سپس GET_SEED_PHRASE را فراخوانی کرد تا عبارت بازیابی کیف پول (و همچنین کلید خصوصی) را به دست آورد و سپس عبارت بازیابی را در "errorMessage" قرار داد.

در زیر کدی آمده است که از emit برای فراخوانی GetSeedPhrase جهت دریافت داده‌های عبارت بازیابی و پر کردن آن در خطا استفاده می‌کند.

تحلیل ترافیک انجام شده از طریق BurpSuite نشان می‌دهد که پس از به دست آوردن عبارت بازیابی، آن در فیلد errorMessage بدنه درخواست کپسوله شده و به یک سرور مخرب (https[://]api[.]metrics-trustwallet[.]com) ارسال می‌شود که با تحلیل قبلی مطابقت دارد.

از طریق فرآیند فوق، سرقت عبارت بازیابی/کلید خصوصی تکمیل می‌شود. علاوه بر این، مهاجم با کد منبع آشنا است و از پلتفرم تحلیل محصول چرخه عمر کامل متن‌باز PostHogJS برای جمع‌آوری اطلاعات کیف پول کاربر استفاده می‌کند.

Stolen Asset Analysis

(https://t.me/investigations/296)

طبق آدرس هکر فاش شده توسط ZachXBT، ما محاسبه کرده‌ایم که تا زمان انتشار، مجموع دارایی‌های سرقت شده در بلاک‌چین btc-42">Bitcoin تقریباً ۳۳ BTC (به ارزش حدود ۳ میلیون دلار)، دارایی‌های سرقت شده در بلاک‌چین Solana به ارزش حدود ۴۳۱ دلار و دارایی‌های سرقت شده در شبکه اصلی Ethereum و زنجیره‌های Layer 2 به ارزش حدود ۳ میلیون دلار است. پس از سرقت کوین‌ها، هکر از صرافی‌های ارز دیجیتال متمرکز مختلف و پل‌های میان‌زنجیره‌ای برای انتقال و مبادله برخی از دارایی‌ها استفاده کرد.

Summary

این حادثه بک‌دور از تغییر کد مخرب در پایگاه کد داخلی افزونه Trust Wallet (منطق سرویس تحلیلی) ناشی شده است، نه از معرفی یک بسته شخص ثالث دستکاری شده (مانند یک بسته npm مخرب). مهاجم مستقیماً کد خود برنامه را تغییر داد و از کتابخانه قانونی PostHog برای هدایت داده‌های تحلیلی به یک سرور مخرب استفاده کرد. بنابراین، ما دلیل داریم که باور کنیم این یک حمله APT حرفه‌ای بوده است، جایی که مهاجم ممکن است قبل از ۸ دسامبر کنترل دستگاه توسعه‌دهندگان مرتبط با Trust Wallet یا مجوزهای استقرار انتشار را به دست آورده باشد.

توصیه‌ها:

1. اگر افزونه کیف پول Trust Wallet را نصب کرده‌اید، باید فوراً به عنوان پیش‌شرط برای تحقیق و اقدامات، از اینترنت قطع شوید.

2. فوراً private key/عبارت بازیابی خود را صادر کرده و افزونه کیف پول Trust Wallet را حذف کنید.

3. پس از پشتیبان‌گیری از کلید خصوصی/عبارت بازیابی خود، فوراً دارایی‌های خود را به کیف پول دیگری منتقل کنید.

Original Article Link

قیمت --

--

ممکن است شما نیز علاقه‌مند باشید

به رسمیت شناختن اتریوم توسط بلک‌راک، حجم معاملات استیبل‌کوین از ویزا پیشی گرفت: به‌روزرسانی‌های اصلی اکوسیستم

از تحولات اتریوم تا رشد سولانا، آخرین روندهای بازار ارز دیجیتال در ۲۴ ساعت گذشته را بررسی کنید.

تحلیل تأثیر مقررات ارز دیجیتال

نکات کلیدی: مقررات ارز دیجیتال همچنان در حال تکامل است و بر بازارهای جهانی و سرمایه‌گذاران فردی تأثیر می‌گذارد.

خروج Noble از اکوسیستم؛ آیا Cosmos اکنون به یک «پوسته توخالی» تبدیل شده است؟

خروج Noble واقعیتی تلخ را آشکار می‌کند: در برابر نقدینگی، روایت‌های تکنولوژیک اغلب رنگ‌باخته و ضعیف به نظر می‌رسند.

به دنبال شمشیر در همان جای قبلی نباشید: بازار فعلی بیت‌کوین تکرار بازار نزولی ۲۰۲۲ نیست

تغییر جهت محیط کلان و هولد کردن نهادی، روایت بنیادی بیت‌کوین را متحول کرده است.

پیش‌بینی کتی وود برای سال ۲۰۲۶: اوج طلا، بازگشت دلار و حرکت مستقل قیمت بیت‌کوین

با کاهش مقررات، کاهش مالیات، سیاست پولی سالم و ادغام فناوری‌های نوآورانه، بازار سهام آمریکا در آستانه ورود به یک «عصر طلایی» است، در حالی که جهش پیش‌روی دلار ممکن است به روند صعودی قیمت طلا پایان دهد.

راهنمای جامع ایردراپ ۲۰۲۶: فهرست ۱۸۲ پروژه و ۸ حوزه اصلی

این راهنما را ذخیره کنید؛ نقشه گنج برای شکارچیان ایردراپ که به دنبال تعامل با برترین پروژه‌های ارز دیجیتال هستند.
با اطمینان در WEEX معامله کنید
اجرای سریع سفارش‌ها با نقدشوندگی عمیق
با اطمینان در WEEX معامله کنیدهمین حالا فرصت را از دست ندهید

محتوا

رمزارزهای محبوب

آخرین اخبار رمز ارز

16:10

داده‌ها: موقعیت فعلی نهنگ‌ها در پلتفرم Hyperliquid، ۳.۶۱۸ میلیارد دلار آمریکا با نسبت موقعیت خرید به فروش ۱.۰۱ است.

طبق داده‌های کوین‌گلس، دارایی‌های فعلی نهنگ‌ها در پلتفرم هایپرلیکوئید به ۳.۶۱۸ میلیارد دلار می‌رسد که ۱.۸۲ میلیارد دلار آن در موقعیت‌های خرید (Long Positions) است که ۵۰.۳۱٪ از دارایی‌ها را تشکیل می‌دهد و ۱.۷۹۸ میلیارد دلار آن در موقعیت‌های فروش (Short Positions) است که ۴۹.۶۹٪ را تشکیل می‌دهد. سود و زیان برای موقعیت‌های خرید (لانگ) ۱۸.۰۲۴۷ دلار است...
HYPEHYPE
--
16:03

داده‌ها: کل جریان خالص ورودی ETF بیت کوین دیروز ۲۶.۰۵۱۱ میلیون دلار بود که به مدت ۳ روز ادامه داشت.

طبق داده‌های SoSoValue، دیروز (۱۶ آوریل به وقت شرق آمریکا) کل جریان خالص ورودی ETFهای نقدی بیت‌کوین ۲۶.۰۵۱۱ میلیون دلار بود. ETF نقدی بیت‌کوین که دیروز بیشترین جریان خالص ورودی را داشت، ETF Blackrock ETF IBIT بود که با جریان خالص ورودی ۸۱.۷۰۵۶ میلیون دلار برای آن روز، کل جریان خالص تاریخی IBIT را به ارمغان آورد...
BTCBTC
--
16:02

$JST در مجموع 1.35 میلیارد توکن سوزانده شده است که 13.70% از کل عرضه را تشکیل می‌دهد

بر اساس داده‌های رسمی، برنامه خرید و سوزاندن مرحله‌ای $JST به طور تجمعی 1.35 میلیارد توکن را نابود کرده است که 13.70% از کل عرضه را شامل می‌شود و ارزش تخریب مربوطه تقریباً 60.03 میلیون دلار آمریکا است. این کاهش بزرگ مقیاس سه فصل کامل را پشت سر گذاشته و...
15:53

داده‌ها: مجموع جریان خالص ورود صندوق ETF اسپات اتریوم دیروز ۱۸.۰۲۰۹ میلیون دلار بود و برای ششمین روز متوالی ادامه یافت.

بر اساس داده‌های SoSoValue، دیروز (به وقت شرقی، ۱۶ آوریل) مجموع جریان خالص ورودی برای ETFهای اسپات اتریوم ۱۸٫۰۲۰۹ میلیون دلار بود. ETF اسپات اتریوم با بالاترین جریان خالص ورودی دیروز، ETF بلک‌راک ETHA بود که جریان خالص ورودی آن ۳۰٫۵۰۵۹ میلیون دلار بود. در حال حاضر، کل جریان خالص ورودی تاریخی fo...
ETHETH
--
15:49

بانک مرکزی ایالات متحده انتظار می‌رود که نرخ‌های بهره را در سال ۲۰۲۶ بدون تغییر نگه دارد، با احتمال کاهش نرخ در سپتامبر

بر اساس گزارش‌های جینشی، بانک دویچه انتظار دارد که بانک مرکزی ایالات متحده نرخ‌های بهره را در سال ۲۰۲۶ بدون تغییر نگه دارد، در حالی که پیش‌بینی قبلی کاهش نرخ در سپتامبر بود.
ادامه مطلب
جامعه
iconiconiconiconiconicon

ربات پشتیبانی مشتری@WEEX_support_smart_Bot

خدمات VIPsupport@weex.com