خرید رمز ارز
فیوچرزسرقت کریسمس ارز دیجیتال: بیش از ۶ میلیون دلار خسارت، تحلیل هک کیف پول Trust Wallet در کروم
عنوان اصلی: "Christmas Heist | Trust Wallet Browser Extension Wallet Hacked Analysis"
منبع اصلی: SlowMist Technology
Background
اوایل صبح امروز به وقت پکن، @zachxbt در کانال خود اعلام کرد: "برخی از کاربران Trust Wallet گزارش دادهاند که موجودی آدرسهای کیف پول آنها در چند ساعت گذشته به سرقت رفته است." متعاقباً، حساب رسمی X کیف پول Trust Wallet نیز با انتشار بیانیهای رسمی، وجود یک آسیبپذیری امنیتی در نسخه ۲.۶۸ افزونه مرورگر Trust Wallet را تأیید کرد و به تمام کاربرانی که از نسخه ۲.۶۸ استفاده میکنند توصیه کرد که فوراً این نسخه را غیرفعال کرده و به نسخه ۲.۶۹ ارتقا دهند.
Tactics
پس از دریافت اطلاعات، تیم امنیتی SlowMist بلافاصله به تحلیل نمونههای مربوطه پرداخت. بیایید ابتدا کد اصلی نسخههای ۲.۶۷ و ۲.۶۸ منتشر شده قبلی را مقایسه کنیم:
با مقایسه کد این دو نسخه، ما کد مخربی را که توسط هکر اضافه شده بود، پیدا کردیم:
این کد مخرب تمام کیف پولهای موجود در افزونه را پیمایش میکند، برای هر کیف پول کاربر یک درخواست "دریافت عبارت بازیابی" (mnemonic phrase) ارسال میکند تا عبارت بازیابی رمزگذاریشده کاربر را به دست آورد و در نهایت از رمز عبور یا passkeyPassword وارد شده توسط کاربر هنگام باز کردن قفل کیف پول برای رمزگشایی استفاده میکند. اگر رمزگشایی موفقیتآمیز باشد، عبارت بازیابی کاربر به دامنه مهاجم `api.metrics-trustwallet[.]com` ارسال میشود.
ما همچنین اطلاعات دامنه مهاجم را تحلیل کردیم؛ مهاجم از دامنه metrics-trustwallet.com استفاده کرده است.
پس از بررسی، زمان ثبت این دامنه مخرب 2025-12-08 02:28:18 بوده و ثبتکننده دامنه NICENIC INTERNATIONA است.
سوابق درخواستهای هدف قرار دادن api.metrics-trustwallet[.]com از تاریخ 2025-12-21 آغاز شده است.
این مهر زمانی و کاشت بکدور با کد 12.22 تقریباً یکسان است.
ما به بازسازی کل فرآیند حمله از طریق تحلیل ردیابی کد ادامه میدهیم:
از طریق تحلیل پویا، میتوان مشاهده کرد که پس از باز کردن قفل کیف پول، مهاجم اطلاعات عبارت بازیابی را در خطا در R1 پر کرده است.
و منبع این دادههای خطا از طریق فراخوانی تابع GET_SEED_PHRASE به دست میآید. در حال حاضر، Trust Wallet از دو روش برای باز کردن قفل پشتیبانی میکند: رمز عبور و passkeyPassword. مهاجم در طول فرآیند باز کردن قفل، رمز عبور یا passkeyPassword را به دست آورد، سپس GET_SEED_PHRASE را فراخوانی کرد تا عبارت بازیابی کیف پول (و همچنین کلید خصوصی) را به دست آورد و سپس عبارت بازیابی را در "errorMessage" قرار داد.
در زیر کدی آمده است که از emit برای فراخوانی GetSeedPhrase جهت دریافت دادههای عبارت بازیابی و پر کردن آن در خطا استفاده میکند.
تحلیل ترافیک انجام شده از طریق BurpSuite نشان میدهد که پس از به دست آوردن عبارت بازیابی، آن در فیلد errorMessage بدنه درخواست کپسوله شده و به یک سرور مخرب (https[://]api[.]metrics-trustwallet[.]com) ارسال میشود که با تحلیل قبلی مطابقت دارد.
از طریق فرآیند فوق، سرقت عبارت بازیابی/کلید خصوصی تکمیل میشود. علاوه بر این، مهاجم با کد منبع آشنا است و از پلتفرم تحلیل محصول چرخه عمر کامل متنباز PostHogJS برای جمعآوری اطلاعات کیف پول کاربر استفاده میکند.
Stolen Asset Analysis
(https://t.me/investigations/296)
طبق آدرس هکر فاش شده توسط ZachXBT، ما محاسبه کردهایم که تا زمان انتشار، مجموع داراییهای سرقت شده در بلاکچین btc-42">Bitcoin تقریباً ۳۳ BTC (به ارزش حدود ۳ میلیون دلار)، داراییهای سرقت شده در بلاکچین Solana به ارزش حدود ۴۳۱ دلار و داراییهای سرقت شده در شبکه اصلی Ethereum و زنجیرههای Layer 2 به ارزش حدود ۳ میلیون دلار است. پس از سرقت کوینها، هکر از صرافیهای ارز دیجیتال متمرکز مختلف و پلهای میانزنجیرهای برای انتقال و مبادله برخی از داراییها استفاده کرد.
Summary
این حادثه بکدور از تغییر کد مخرب در پایگاه کد داخلی افزونه Trust Wallet (منطق سرویس تحلیلی) ناشی شده است، نه از معرفی یک بسته شخص ثالث دستکاری شده (مانند یک بسته npm مخرب). مهاجم مستقیماً کد خود برنامه را تغییر داد و از کتابخانه قانونی PostHog برای هدایت دادههای تحلیلی به یک سرور مخرب استفاده کرد. بنابراین، ما دلیل داریم که باور کنیم این یک حمله APT حرفهای بوده است، جایی که مهاجم ممکن است قبل از ۸ دسامبر کنترل دستگاه توسعهدهندگان مرتبط با Trust Wallet یا مجوزهای استقرار انتشار را به دست آورده باشد.
توصیهها:
1. اگر افزونه کیف پول Trust Wallet را نصب کردهاید، باید فوراً به عنوان پیششرط برای تحقیق و اقدامات، از اینترنت قطع شوید.
2. فوراً private key/عبارت بازیابی خود را صادر کرده و افزونه کیف پول Trust Wallet را حذف کنید.
3. پس از پشتیبانگیری از کلید خصوصی/عبارت بازیابی خود، فوراً داراییهای خود را به کیف پول دیگری منتقل کنید.
ممکن است شما نیز علاقهمند باشید
46 دقیقه، 292 میلیون دلار دزدیده شده، DeFi دوباره با معضل توسعه مواجه است
چگونه در سال 2026 USDT رایگان کسب کنیم: نیاز به حجم بالا نیست (راهنمای مهمانی پوکر WEEX)
آیا Joker Crypto در سال 2026 معتبر است یا فقط یک میمکوین دیگر است؟ آیا واقعاً میتوانید در سال 2026 با Joker Crypto درآمد غیرفعال کسب کنید؟ یاد بگیرید که جوایز استیکینگ Joker چگونه کار میکند، چگونه میتوانید پاداشهای NFT کسب کنید، دامنههای APY مورد انتظار، تخفیفهای هزینه گاز و چگونه قبل از پیوستن از کلاهبرداریهای کریپتو جلوگیری کنید.
چگونه در سال ۲۰۲۶ جایزه خوشآمدگویی رایگان USDT دریافت کنیم: تا ۷۰۰ USDT در WEEX کسب کنید
بونوس خوشآمدگویی رایگان واقعی ۲۰۲۶: با Auto Earn Boost Fest بیاموزید چگونه تا ۷۰۰ USDT در WEEX کسب کنید. موجودی خود را افزایش دهید، Auto Earn را فعال کنید و بهطور خودکار واجد شرایط شوید.
پرداختهای عامل هوش مصنوعی بالاخره واقعی شدند: Utexo × x402 تراکنشهای ۵۰ میلیثانیهای USDT را در مقیاس اینترنت ارائه میدهد.
Utexo، USDT را در پروتکل x402 ادغام میکند و امکان پرداختهای فوری ۵۰ میلیثانیهای را بهصورت بومی در درخواستهای HTTP فراهم میآورد. کاوش کنید که چگونه این پیشرفت، قواعد پرداخت به عاملهای هوش مصنوعی، درآمدزایی از طریق API و اقتصاد ماشینبهماشین را بازنویسی میکند.
چه چیزی پول هوشمند را از بقیه در دنیای کریپتو متمایز میکند؟ بینشهایی از آزادی پول
بیشتر معاملهگران ارزهای دیجیتال نه به دلیل بدشانسی، بلکه به دلیل درک نادرست از نحوهی عملکرد واقعی بازار، پول خود را از دست میدهند. از آزادی پول گرفته تا ظهور و سقوط سم بنکمن-فرید، آنها یک شکاف کلیدی در کریپتو را برجسته میکنند: کسانی که بازار را میسازند و کسانی که آن را دنبال میکنند. این راهنمای مطالعه، کتابهای ضروری را بررسی میکند که نشان میدهند چگونه روایت، مقررات، سرمایه و روانشناسی، موفقیت بلندمدت در صنعت کریپتو را شکل میدهند.
گزارش عمیق DWF: هوش مصنوعی در دیفای در بهینهسازی بازده از انسانها پیشی میگیرد، اما معاملات پیچیده همچنان ۵ برابر عقبتر هستند.
تیم اصلی مدیریت ریسک بهتازگی برکنار شده و آوه اکنون با نکول ۲۰۰ میلیون دلاری مواجه است.
باگ ۲۹۳ میلیون دلاری در کد نبود؛ پس ماجرای «باگ پیکربندی DVN» که منجر به بزرگترین هک سال ۲۰۲۶ شد چیست؟
a16z در مورد استخدام: چگونه بین استعدادهای بومی کریپتو و استعدادهای سنتی یکی را انتخاب کنیم؟
بزرگترین سرقت دیفای سال ۲۰۲۶، هکرها بهراحتی از Aave سوءاستفاده کردند.
Untitled
Outline H1: حمله به سیستم دایفای: پیآمدی بر لینیِر فایننس و سرنوشت LUSD H2: مقدمه – شرح بحران…
آیا رباتها انسانها را جایگزین خواهند کرد؟ او میگوید نه!
قیمت بایننس کوین ۱۵ برابر به بالاترین سطح تاریخی خود افزایش یافت و توسط سه خط نجات بازار صعودی نجات یافت
مروری بر حادثه OpenClaw و Moltbook: از روایت اجتماعی هوش مصنوعی تا چشمانداز اقتصاد عاملها
نیویورک تایمز: اهدای مجسمه طلایی به ترامپ، بازاریابی عجیب یک میم کوین
سیرکل: هر شرکتی نمیتواند استیبلکوین صادر کند
از شگفتی هوش مصنوعی تا افشای "هوش مصنوعی که ادای انسان را در میآورد": Moltbook تنها ۴ روز دوام آورد
یک سال بعد، بازار ارز دیجیتال چه چیزی برای معامله دارد؟
46 دقیقه، 292 میلیون دلار دزدیده شده، DeFi دوباره با معضل توسعه مواجه است
چگونه در سال 2026 USDT رایگان کسب کنیم: نیاز به حجم بالا نیست (راهنمای مهمانی پوکر WEEX)
آیا Joker Crypto در سال 2026 معتبر است یا فقط یک میمکوین دیگر است؟ آیا واقعاً میتوانید در سال 2026 با Joker Crypto درآمد غیرفعال کسب کنید؟ یاد بگیرید که جوایز استیکینگ Joker چگونه کار میکند، چگونه میتوانید پاداشهای NFT کسب کنید، دامنههای APY مورد انتظار، تخفیفهای هزینه گاز و چگونه قبل از پیوستن از کلاهبرداریهای کریپتو جلوگیری کنید.
چگونه در سال ۲۰۲۶ جایزه خوشآمدگویی رایگان USDT دریافت کنیم: تا ۷۰۰ USDT در WEEX کسب کنید
بونوس خوشآمدگویی رایگان واقعی ۲۰۲۶: با Auto Earn Boost Fest بیاموزید چگونه تا ۷۰۰ USDT در WEEX کسب کنید. موجودی خود را افزایش دهید، Auto Earn را فعال کنید و بهطور خودکار واجد شرایط شوید.
پرداختهای عامل هوش مصنوعی بالاخره واقعی شدند: Utexo × x402 تراکنشهای ۵۰ میلیثانیهای USDT را در مقیاس اینترنت ارائه میدهد.
Utexo، USDT را در پروتکل x402 ادغام میکند و امکان پرداختهای فوری ۵۰ میلیثانیهای را بهصورت بومی در درخواستهای HTTP فراهم میآورد. کاوش کنید که چگونه این پیشرفت، قواعد پرداخت به عاملهای هوش مصنوعی، درآمدزایی از طریق API و اقتصاد ماشینبهماشین را بازنویسی میکند.
چه چیزی پول هوشمند را از بقیه در دنیای کریپتو متمایز میکند؟ بینشهایی از آزادی پول
بیشتر معاملهگران ارزهای دیجیتال نه به دلیل بدشانسی، بلکه به دلیل درک نادرست از نحوهی عملکرد واقعی بازار، پول خود را از دست میدهند. از آزادی پول گرفته تا ظهور و سقوط سم بنکمن-فرید، آنها یک شکاف کلیدی در کریپتو را برجسته میکنند: کسانی که بازار را میسازند و کسانی که آن را دنبال میکنند. این راهنمای مطالعه، کتابهای ضروری را بررسی میکند که نشان میدهند چگونه روایت، مقررات، سرمایه و روانشناسی، موفقیت بلندمدت در صنعت کریپتو را شکل میدهند.
App