صدمة الكريسماس في عالم الكريبتو: اختراق Trust Wallet وسرقة 7 ملايين دولار (ووعد بالتعويض الكامل)

١. الحادثة: غارة منتصف الليل على الإصدار 2.68

بدأ كل شيء في الأيام الأخيرة من ديسمبر 2025. بدأت تقارير متفرقة تظهر على منصة X (تويتر سابقاً) حيث ادعى مستخدمون مذعورون أن أرصدتهم من الإيثريوم وسولانا والبيتكوين قد تم استنزافها دون إذنهم، ودون أن يضغطوا على أي روابط تصيد.

كشفت التحقيقات السريعة التي أجراها محققو البلوكشين أن جميع الضحايا لديهم قاسم مشترك: لقد قاموا مؤخراً بتثبيت أو تحديث إضافة متصفح Trust Wallet. وتبين أن تحديثاً مخترقاً (الإصدار 2.68) يحتوي على برمجيات خبيثة قد تم دفعه إلى متجر Chrome Web Store.

استمرت نافذة الهجوم مفتوحة لعدة ساعات قبل أن تعترف Trust Wallet رسمياً بالاختراق وتحث المستخدمين على التحديث.

٢. التشريح التقني: كيف سرق القراصنة "عبارات الاسترداد"؟

على عكس اختراقات DeFi المعقدة التي تستهدف العقود الذكية، كان هذا "هجوم سلسلة توريد" (Supply Chain Attack) كلاسيكياً. نجح القراصنة في التلاعب بالكود المصدري للإضافة نفسها.

آلية السرقة:

في الإصدار المصاب (v2.68)، تمت إضافة سكريبت خبيث يراقب مدخلات المستخدم. بمجرد أن يقوم المستخدم بإدخال كلمة المرور أو إنشاء محفظة جديدة، يقوم السكريبت بنسخ عبارة الاسترداد المكونة من 12 كلمة (Seed Phrase) وإرسالها سراً إلى خادم يتحكم فيه المهاجمون.

وفقاً لتقرير شركة الأمن SlowMist، استخدم القراصنة نطاقاً (Domain) يشبه النطاقات الرسمية للتحليلات، مما جعل من الصعب على جدران الحماية اكتشاف سرقة البيانات.

٣. الرد الرسمي: CZ و Trust Wallet يعدان بإعادة 7 ملايين دولار

بعد تأكيد الهجوم، أصدرت Trust Wallet تحديثاً طارئاً (v2.69) لإزالة البرمجيات الخبيثة. لكن السؤال الحارق للضحايا كان: "هل ضاعت أموالنا للأبد؟".

في خطوة فاجأت الكثيرين، تدخل تشانغ بينغ تشاو (CZ)، مؤسس بينانس (التي تمتلك Trust Wallet)، شخصياً. وأعلن أن إجمالي الضرر يقدر بحوالي 7 ملايين دولار وأن Trust Wallet ستقوم بتعويض جميع الضحايا المؤهلين بالكامل.

٤. إحصائيات 2025 المرعبة: عام ضياع 3.4 مليار دولار

كان هذا الهجوم مجرد غيض من فيض. دخل عام 2025 التاريخ كواحد من أحلك الأعوام في مجال الأمن السيبراني للعملات المشفرة. وفقاً لتقرير Chainalysis، تجاوز إجمالي السرقات في عام 2025 حاجز 3.4 مليار دولار.

• رقم قياسي لكوريا الشمالية: كان قراصنة "مجموعة لازاروس" مسؤولين وحدهم عن سرقة أكثر من 2.02 مليار دولار هذا العام، مسجلين رقماً قياسياً تاريخياً.
• تغيير التكتيكات: بخلاف السنوات السابقة التي ركزت على "الجسور" (Bridges)، شهد عام 2025 ارتفاعاً هائلاً في الهجمات التي تستهدف "المحافظ الشخصية" و "إضافات المتصفح"، مستغلة المستخدم النهائي مباشرة.

٥. دروس أمنية: لماذا تعتبر إضافات المتصفح "كعب أخيل"؟

تعتبر إضافات المتصفح (Browser Extensions) بطبيعتها أكثر عرضة للخطر من تطبيقات الهاتف أو برامج سطح المكتب. فهي تعيش داخل متصفح الويب الخاص بك، وتكون متصلة بالإنترنت باستمرار وعرضة للبرمجيات الخبيثة.

تثبت حادثة Trust Wallet أنه حتى التحميل من "مصدر رسمي" (مثل Chrome Web Store) ليس ضماناً للأمان بنسبة 100% إذا تم اختراق حساب المطور.

٦. دليل العمل الفوري: ماذا تفعل إذا كنت تستخدم Trust Wallet؟

إذا كنت من مستخدمي إضافة Trust Wallet، اتخذ هذه الخطوات فوراً:

1. تحقق من الإصدار: انقر أيقونة الإضافة وتأكد من أنك تستخدم الإصدار 2.69 أو أعلى. إذا كنت تستخدم v2.68، فقم بإزالتها فوراً.
2. أنشئ محفظة جديدة: إذا استخدمت محفظتك بين 24 و 26 ديسمبر، فاعتبر عبارة الاسترداد الخاصة بك مخترقة. قم بإنشاء محفظة جديدة تماماً وانقل أي أصول متبقية إليها.
3. الانتقال إلى الأجهزة (Hardware): لتخزين مبالغ كبيرة، توقف عن استخدام إضافات المتصفح. المحفظة الباردة (مثل Ledger) هي الطريقة الوحيدة لإبقاء مفاتيحك الخاصة معزولة فيزيائياً عن الإنترنت.

٧. الخاتمة: مستقبل الأمان في Web3

يعد اختراق Trust Wallet بقيمة 7 ملايين دولار جرس إنذار خطير للنظام البيئي بأكمله. وبينما منع وعد التعويض حدوث أزمة ثقة أكبر، فإنه يسلط الضوء على أن "اللامركزية" لا تزال بحاجة إلى تحسينات كبيرة في مجال أمان المستخدم.

في عالم يمكن لتحديث برمجي واحد أن يخفي ملايين الدولارات في ساعات، لم يعد "الأمان الشخصي" خياراً؛ بل هو ضرورة. كما يقول المثل الشهير: "ليست مفاتيحك، ليست عملاتك". ولكن الآن يجب أن نضيف: "أمّن مفاتيحك، أو ستفقد عملاتك."