تراست ولت (Trust Wallet) رسماً اعلام کرد که پس از شناسایی کد مخرب در افزونه مرورگر کروم خود، فرآیند پرداخت خسارت کاربران قربانی هک اخیر را آغاز کرده است. این حمله سایبری که درست در روز کریسمس (۲۴ دسامبر) رخ داد، منجر به سرقت حدود ۷ میلیون دلار ارز دیجیتال از کیف پولهای کاربران شد.
جزئیات حمله و نسخه آلوده افزونه
طبق اطلاعیه رسمی تراست ولت، نفوذ امنیتی فقط مربوط به نسخه ۲.۶۸ افزونه کروم بوده است — نسخهای که در تاریخ ۲۴ دسامبر منتشر شد.
کاربرانی که این نسخه را نصب کرده بودند، پس از مدت کوتاهی با دسترسی غیرمجاز مهاجمان به کیف پولهای دیجیتال خود روبهرو شدند.
منشأ حمله طبق تحقیقات تیم امنیتی، نشت یک کلید API از فروشگاه وب گوگل کروم (Chrome Web Store) بوده است. این رخداد به مهاجمان اجازه داده نسخه آلوده را بهصورت رسمی منتشر کنند، موضوعی که بار دیگر نگرانیها درباره امنیت افزونههای مرورگر و کیف پولهای مبتنی بر آن را افزایش داده است.
سازوکار جبران خسارت
تراست ولت اکنون یک پرتال رسمی ویژه درخواست جبران خسارت راهاندازی کرده است. کاربران آسیبدیده باید در این سامانه اطلاعات زیر را ثبت کنند:
- آدرس کیف پول قربانی
- آدرس مقصد تراکنش مهاجم
- شناسه (هش) تراکنشهای سرقتشده
- کشور محل سکونت و مشخصات تماس
بر اساس اعلام شرکت، تمام درخواستها بهصورت موردی و دستی بررسی میشود تا از دقت و امنیت در فرآیند بازپرداخت اطمینان حاصل شود.
آمار خسارت و داراییهای سرقتشده
طبق گزارشهای اولیهی تراست ولت و شرکت امنیت بلاکچین PeckShield، در این حمله داراییهایی شامل بیتکوین، اتریوم، بایننس کوین و سولانا به سرقت رفتهاند.
- حدود ۴ میلیون دلار از وجوه مسروقه از طریق صرافیهای متمرکز جابهجا شده است.
- نزدیک به ۲.۸ میلیون دلار همچنان در کیف پولهای تحت کنترل مهاجم باقی مانده است.
تحلیلگر معروف بلاکچین ZachXBT اولین فردی بود که وقوع این حمله را در شبکههای اجتماعی افشا کرد و توجه جامعهی کریپتو را به آن جلب نمود.
موضع بایننس و تیم توسعه
چانگپنگ ژائو (Changpeng Zhao)، بنیانگذار بایننس و مالک تراست ولت، تأیید کرد که:
«تمام خسارتهای تأییدشده کاربران، بهطور کامل جبران خواهد شد.»
وی افزود امنیت کاربران در اولویت دائمی اکوسیستم بایننس و تراست ولت است و تیم امنیتی با همکاری نهادهای نظارتی و پلتفرمهای تحلیل آنچین، در حال رهگیری مسیر وجوه سرقتشده است.
جمعبندی
پیش از این، تراست ولت به عنوان یکی از محبوبترین کیف پولهای غیرمتمرکز برای کاربران رمزارز شناخته میشد. اما حادثه اخیر یادآور اهمیت حیاتی بررسی امنیت افزونههای مرورگر، مدیریت کلیدهای API و کنترل انتشار رسمی نرمافزارهای کیف پول است.
اقدام سریع این شرکت برای جبران خسارت، میتواند تا حدی اعتماد کاربران را بازیابی کند؛ هرچند هک کریسمس تراست ولت نشان داد که حتی کیف پولهای مشهور نیز در برابر نشت داده و حملات زنجیره تأمین (Supply Chain Attack) مصون نیستند.
