توضیح هک TrustWallet: از به‌روزرسانی تا تخلیه کیف پول‌ها به ارزش 4 میلیون دلار در $TWT، BTC، ETH

دقیقاً چه اتفاقی در هک Trust Wallet افتاد

مرحله 1: به‌روزرسانی جدید افزونه مرورگر منتشر شد

به‌روزرسانی جدیدی برای افزونه مرورگر Trust Wallet در 1403/10/04 منتشر شد.

• به‌روزرسانی معمولی به نظر می‌رسید.
• هیچ هشدار امنیتی مهمی همراه آن نبود.
• کاربران آن را از طریق فرآیند به‌روزرسانی معمول نصب کردند.

در این مرحله، هیچ چیز مشکوک به نظر نمی‌رسید.

مرحله 2: کد جدید به افزونه اضافه شد

پس از به‌روزرسانی، محققانی که فایل‌های افزونه را بررسی می‌کردند، تغییراتی را در فایل JavaScript به نام 4482.js مشاهده کردند.

مشاهده کلیدی:

• کد جدید در نسخه‌های قبلی وجود نداشت.
• درخواست‌های شبکه مرتبط با اقدامات کاربر را معرفی کرد.

این موضوع اهمیت دارد زیرا کیف پول‌های مرورگر محیط‌های بسیار حساسی هستند؛ هر منطق خروجی جدید خطر بالایی ایجاد می‌کند.

مرحله 3: کد به عنوان "تجزیه و تحلیل" جعل شد

منطق اضافه شده به عنوان کد تجزیه و تحلیل یا تله‌متری ظاهر شد.

به طور خاص:

• شبیه منطق ردیابی استفاده شده توسط SDK های تجزیه و تحلیل رایج بود.
• همیشه ترایگر نمی‌شد.
• فقط در شرایط خاصی فعال می‌شد.

این طراحی تشخیص آن را در طول تست‌های معمولی دشوارتر کرد.

مرحله 4: شرط ترایگر وارد کردن عبارت بازیابی

مهندسی معکوس جامعه نشان می‌دهد که منطق زمانی ترایگر می‌شد که کاربر عبارت بازیابی را به افزونه وارد می‌کرد.

چرا این موضوع حیاتی است:

• وارد کردن عبارت بازیابی کنترل کامل کیف پول را می‌دهد.
• این یک لحظه یک‌باره و با ارزش بالا است.
• هر کد مخربی فقط یک بار نیاز به عمل دارد.

کاربرانی که فقط از کیف پول‌های موجود استفاده می‌کردند ممکن است این مسیر را ترایگر نکرده باشند.

مرحله 5: داده‌های کیف پول به صورت خارجی ارسال شد

هنگامی که شرط ترایگر رخ داد، کد ظاهراً داده‌ها را به یک نقطه پایانی خارجی ارسال کرد:

metrics-trustwallet[.]com

آنچه هشدار ایجاد کرد:

• دامنه بسیار شبیه زیردامنه قانونی Trust Wallet بود.
• فقط چند روز قبل ثبت شده بود.
• به صورت عمومی مستند نشده بود.
• بعداً آفلاین شد.

حداقل، این ارتباط خروجی غیرمنتظره از افزونه کیف پول را تأیید می‌کند.

مرحله 6: مهاجمان بلافاصله اقدام کردند

کمی پس از وارد کردن عبارت بازیابی، کاربران گزارش دادند:

• کیف پول‌ها در عرض چند دقیقه تخلیه شدند.
• دارایی‌های متعدد به سرعت منتقل شدند.
• هیچ تعامل بیشتری از کاربر مورد نیاز نبود.

رفتار زنجیره‌ای نشان داد:

• الگوهای تراکنش خودکار.
• آدرس‌های مقصد متعدد.
• هیچ جریان تأیید فیشینگ آشکاری وجود نداشت.

این نشان می‌دهد که مهاجمان از قبل دسترسی کافی برای امضای تراکنش‌ها داشتند.

مرحله 7: وجوه در آدرس‌ها تجمیع شدند

دارایی‌های سرقت شده از طریق چندین کیف پول تحت کنترل مهاجم مسیریابی شدند.

چرا این اهمیت دارد:

• هماهنگی یا اسکریپت نویسی را نشان می‌دهد.
• اتکا به یک آدرس واحد را کاهش می‌دهد.
• با رفتار مشاهده شده در سوء استفاده‌های سازمان یافته مطابقت دارد.

برآوردها بر اساس آدرس‌های ردیابی شده نشان می‌دهد میلیون‌ها دلار جابجا شد، اگرچه مجموع متفاوت است.

مرحله 8: دامنه تاریک شد

پس از افزایش توجه:

• دامنه مشکوک پاسخگویی را متوقف کرد.
• هیچ توضیح عمومی بلافاصله دنبال نشد.
• اسکرین‌شات‌ها و شواهد کش شده حیاتی شدند.

این با مهاجمانی که پس از افشا شدن زیرساخت را از بین می‌برند، سازگار است.

مرحله 9: تأیید رسمی بعداً آمد

Trust Wallet بعداً تأیید کرد:

• یک حادثه امنیتی بر نسخه خاصی از افزونه مرورگر تأثیر گذاشت.
• کاربران موبایل تحت تأثیر قرار نگرفتند.
• کاربران باید افزونه را ارتقا یا غیرفعال کنند.

با این حال، هیچ تجزیه و تحلیل فنی کاملی فوراً برای توضیح موارد زیر ارائه نشد:

• چرا دامنه وجود داشت.
• آیا عبارات بازیابی افشا شدند.
• آیا این یک مشکل داخلی، شخص ثالث یا خارجی بود.

این شکاف حدس و گمان مداوم را تقویت کرد.

آنچه تأیید شده است

• به‌روزرسانی افزونه مرورگر رفتار خروجی جدیدی را معرفی کرد.
• کاربران کمی پس از وارد کردن عبارات بازیابی وجوه خود را از دست دادند.
• حادثه به یک نسخه خاص محدود بود.
• Trust Wallet یک مشکل امنیتی را تأیید کرد.

آنچه به شدت مشکوک است

• یک مشکل زنجیره تأمین یا تزریق کد مخرب.
• افشای عبارات بازیابی یا توانایی امضا.
• سوء استفاده یا تسلیح منطق تجزیه و تحلیل.

آنچه هنوز ناشناخته است

• آیا کد عمداً مخرب بود یا در بالادست به خطر افتاد.
• چند کاربر تحت تأثیر قرار گرفتند.
• آیا داده‌های دیگری برداشته شد.
• انتساب دقیق مهاجمان.

چرا این حادثه اهمیت دارد

این فیشینگ معمولی نبود.

این موضوع برجسته می‌کند:

• خطر افزونه‌های مرورگر.
• خطر اعتماد کورکورانه به به‌روزرسانی‌ها.
• چگونه کد تجزیه و تحلیل می‌تواند مورد سوء استفاده قرار گیرد.
• چرا مدیریت عبارات بازیابی حیاتی‌ترین لحظه در امنیت کیف پول است.

حتی یک آسیب‌پذیری کوتاه مدت می‌تواند عواقب جدی داشته باشد.

پست توضیح هک TrustWallet: از به‌روزرسانی تا تخلیه کیف پول به ارزش 4 میلیون دلار در $TWT، BTC، ETH ابتدا در Live Bitcoin News ظاهر شد.