التحديث الذي أفرغ المحافظ

ما الذي حدث بالضبط في حادثة Trust Wallet

الخطوة 1: تم إصدار تحديث جديد لإضافة المتصفح

تم إصدار تحديث جديد لإضافة متصفح Trust Wallet في 24 ديسمبر.

• بدا التحديث روتينياً.

• لم تصاحبه تحذيرات أمنية كبيرة.

• قام المستخدمون بتثبيته من خلال عملية التحديث المعتادة.

في هذه المرحلة، لم يبدو أي شيء مريباً.

الخطوة 2: تمت إضافة كود جديد إلى الإضافة

بعد التحديث، لاحظ الباحثون الذين يبحثون في ملفات الإضافة تغييرات في ملف JavaScript المعروف باسم 4482.js.

ملاحظة رئيسية:

هذا مهم لأن محافظ المتصفح هي بيئات حساسة للغاية؛ أي منطق صادر جديد يشكل خطراً عالياً.

الخطوة 3: تنكر الكود كـ "تحليلات"

ظهر المنطق المضاف ككود تحليلات أو قياس عن بعد.

على وجه التحديد:

• بدا مثل منطق التتبع المستخدم من قبل مجموعات تطوير البرمجيات التحليلية الشائعة.

• لم يتم تشغيله طوال الوقت.

• تم تفعيله فقط في ظل ظروف معينة.

جعل هذا التصميم من الصعب اكتشافه أثناء الاختبار العرضي.

الخطوة 4: شرط التشغيل — استيراد عبارة البذور

تشير الهندسة العكسية المجتمعية إلى أن المنطق تم تشغيله عندما قام المستخدم باستيراد عبارة البذور إلى الإضافة.

لماذا هذا حرج:

• استيراد عبارة البذور يمنح المحفظة السيطرة الكاملة.

• هذه لحظة واحدة وذات قيمة عالية.

• أي كود خبيث يحتاج فقط إلى التصرف مرة واحدة.

المستخدمون الذين استخدموا المحافظ الموجودة فقط قد لا يكونون قد شغلوا هذا المسار.

الخطوة 5: تم إرسال بيانات المحفظة خارجياً

عندما حدث شرط التشغيل، يُزعم أن الكود أرسل البيانات إلى نقطة نهاية خارجية:

metrics-trustwallet[.]com

ما أثار الإنذارات:

• بدا النطاق كثيراً مثل نطاق فرعي شرعي لـ Trust Wallet.

• تم تسجيله قبل أيام فقط.

• لم يكن موثقاً علنياً.

• انقطع عن العمل لاحقاً.

على الأقل، هذا يؤكد اتصالاً صادراً غير متوقع من إضافة المحفظة.

الخطوة 6: تصرف المهاجمون فوراً

بعد فترة وجيزة من استيراد عبارة البذور، أبلغ المستخدمون:

• تم استنزاف المحافظ في غضون دقائق.

• تم نقل أصول متعددة بسرعة.

• لم تكن هناك حاجة إلى مزيد من التفاعل من المستخدم.

أظهر السلوك على السلسلة:

• أنماط معاملات آلية.

• عناوين وجهة متعددة.

• لا يوجد تدفق موافقة تصيد واضح.

هذا يشير إلى أن المهاجمين كان لديهم بالفعل وصول كافٍ للتوقيع على المعاملات.

الخطوة 7: تم دمج الأموال عبر العناوين

تم توجيه الأصول المسروقة من خلال عدة محافظ يسيطر عليها المهاجمون.

لماذا هذا مهم:

• يشير إلى التنسيق أو البرمجة النصية.

• يقلل من الاعتماد على عنوان واحد.

• يطابق السلوك الذي شوهد في الاستغلالات المنظمة.

تشير التقديرات بناءً على العناوين المتتبعة إلى تحرك ملايين الدولارات، على الرغم من اختلاف الإجماليات.

الخطوة 8: اختفى النطاق

بعد زيادة الاهتمام:

• توقف النطاق المشبوه عن الاستجابة.

• لم يتبع ذلك تفسير علني على الفور.

• أصبحت لقطات الشاشة والأدلة المخزنة مؤقتاً حاسمة.

هذا يتوافق مع المهاجمين الذين يدمرون البنية التحتية بمجرد كشفهم.

الخطوة 9: جاء الاعتراف الرسمي لاحقاً

أكدت Trust Wallet لاحقاً:

• أثرت حادثة أمنية على نسخة محددة من إضافة المتصفح.

• لم يتأثر مستخدمو الهاتف المحمول.

• يجب على المستخدمين الترقية أو تعطيل الإضافة.

ومع ذلك، لم يتم تقديم تفصيل تقني كامل على الفور لشرح:

• لماذا كان النطاق موجوداً.

• ما إذا كانت عبارات البذور قد تم كشفها.

• ما إذا كانت هذه مشكلة داخلية أو طرف ثالث أو خارجية.

هذه الفجوة غذت التكهنات المستمرة.

ما تم تأكيده

• قدم تحديث إضافة المتصفح سلوكاً صادراً جديداً.

• خسر المستخدمون الأموال بعد وقت قصير من استيراد عبارات البذور.

• كانت الحادثة محدودة بنسخة محددة.

• اعترفت Trust Wallet بمشكلة أمنية.

ما هو مشتبه به بشدة

• مشكلة سلسلة التوريد أو حقن كود خبيث.

• تعرض عبارات البذور أو القدرة على التوقيع.

• إساءة استخدام منطق التحليلات أو تسليحه.

ما هو لا يزال غير معروف

• ما إذا كان الكود خبيثاً عمداً أو مخترقاً في المنبع.

• كم عدد المستخدمين المتأثرين.

• ما إذا كانت أي بيانات أخرى قد تم أخذها.

• الإسناد الدقيق للمهاجمين.

لماذا هذه الحادثة مهمة

لم يكن هذا تصيداً نموذجياً.

إنه يسلط الضوء على:

• خطر إضافات المتصفح.

• خطر الثقة العمياء في التحديثات.

• كيف يمكن إساءة استخدام كود التحليلات.

• لماذا يعد التعامل مع عبارات البذور اللحظة الأكثر أهمية في أمن المحفظة.

حتى الثغرة قصيرة الأجل يمكن أن تكون لها عواقب وخيمة.