Match Systems | Trust Wallet

(إضافة Chrome) تحليل حادثة

Match Systems | Trust Wallet

خلال الـ 24 ساعة الماضية، رصدنا موجة من البلاغات عن عمليات سحب غير مصرّح بها تطال مستخدمي إضافة متصفّح Trust Wallet لـ Chrome. وقد صرّح فريق Trust Wallet رسميًا بأن المشكلة تطال فقط إصدار الإضافة v2.68، وأوصى بتعطيلها والتحديث إلى v2.69. ووفقًا لبيانهم، فإن مستخدمي الهاتف المحمول وإصدارات الإضافة الأخرى غير متأثّرين.

Match Systems | Trust Wallet

بناءً على تقييمنا، تشبه الحادثة إلى حدّ كبير اختراق سلسلة التوريد — وتحديدًا

 تحديث أو مكوّن مخترَق في الإضافة. وفي مثل هذه الحالات، يسعى المهاجم عادةً إلى الوصول إلى بيانات المحفظة الحرجة (وفي المقام الأول عبارة الاسترداد/mnemonic) أو عملية التوقيع نفسها، وبعدها تصبح سرقة الأموال مسألة أتمتة ووقت.

تُظهر مراجعتنا الأولية أن أموال الضحايا تُستنزَف بسرعة، ثم تُشتَّت عبر سلاسل متعدّدة وتُوجَّه جزئيًا عبر خدمات الصرف. وهذا مهم لأن هذه النقاط تتيح أحيانًا التدخّل — استجابات AML، والتواصل مع المنصّات، وفي بعض السيناريوهات، عمليات تجميد تشمل الجهات المُصدِرة و/أو طلبات جهات إنفاذ القانون. ولا يزال إجمالي الضرر وعدد المستخدمين المتأثّرين قيد التوضيح، لكن التقديرات العامة تتجاوز 7 ملايين دولار. وتشير تحليلاتنا أيضًا إلى وجود ضحايا كبار في هذه الحالة: أحدهم بخسائر تتجاوز 3 ملايين دولار، وآخر بخسائر تتجاوز 700,000 دولار.

تنطبق أعلى مخاطرة على المستخدمين الذين شغّلوا إضافة Chrome v2.68 (خاصةً إذا استوردوا أو أدخلوا عبارة استرداد خلال تلك الفترة). وحتى لو “لم توقّع على أي شيء”، فقد تكون إضافة مخترَقة كافية لسرقة الأموال لاحقًا.

إذا كان لديك v2.68 مثبّتًا، فعطّل الإضافة وحدّث إلى v2.69 من المصدر الرسمي. وإذا كانت عبارة الاسترداد الخاصة بك قد تعرّضت للاختراق، فتصرّف كما لو حدث تسريب: أنشئ محفظة جديدة بعبارة استرداد جديدة وحوّل الأصول، واحتفظ بالأدلة (إصدار الإضافة، والطوابع الزمنية، والعناوين، ومعرّفات المعاملات).

إذا تأثّرت، فاحفظ جميع المعاملات والعناوين والطوابع الزمنية، وأعدّ جدولًا زمنيًا موجزًا للحادثة، وابدأ العملية بتقديم بلاغ للشرطة — فهذا ما يتيح تقديم طلبات رسمية للمنصّات وإجراءات تجميد/استرداد محتملة. ونواصل جمع الآثار وإجراء مراقبة على السلسلة للتدفّقات المرتبطة.

أعلنت Trust Wallet رسميًا استعدادها لتعويض جميع المستخدمين المتأثّرين بإضافة Chrome في هذه الحادثة. ويشمل ذلك مئات المحافظ المتأثّرة. وأكّد فريق Trust Wallet أنهم سيعملون مباشرة مع كل مستخدم متأثّر لمراجعة حالته فرديًا وترتيب التعويضات. ومن المهم الاحتفاظ بجميع الأدلة والتواصل مع الدعم عبر القنوات الرسمية للمشروع.

الأكثر رواجًا

قدّم طلبًا

اترك طلبًا

كيف نتواصل معك؟

حدّد اسم المستخدم في تيليجرام أو البريد الإلكتروني — حسب طريقة التواصل المختارة.