۱. ماجرا چه بود؟ حمله نیمهشب به نسخه ۲.۶۸
همه چیز از روز ۲۴ دسامبر ۲۰۲۵ (۳ دی ۱۴۰۴) شروع شد. گزارشهایی پراکنده در توییتر (X) منتشر شد که کاربران ادعا میکردند بدون اینکه تراکنشی انجام داده باشند، موجودی اتریوم، بیتکوین و سولانای آنها تخلیه شده است.
تحقیقات فوری توسط کارآگاهان بلاکچین، از جمله ZachXBT معروف، نشان داد که تمام قربانیان یک وجه مشترک داشتند: آنها اخیراً از افزونه مرورگر Trust Wallet استفاده کرده بودند. مشخص شد که نسخه بهروزرسانی شدهی این افزونه (ورژن 2.68) حاوی یک کد مخرب بوده است که بلافاصله پس از نصب یا آپدیت، شروع به تخلیه حسابها کرده است.
این حمله حدود ۳۰ ساعت ادامه داشت تا اینکه تراست ولت رسماً وجود این رخنه را تایید کرد و از کاربران خواست سریعاً افزونههای خود را غیرفعال کنند.
۲. کالبدشکافی فنی: هکرها چگونه سید فریزها را دزدیدند؟
برخلاف هکهای پیچیده دیفای (DeFi) که از باگهای قرارداد هوشمند استفاده میکنند، این حمله یک "حمله زنجیره تامین" (Supply Chain Attack) کلاسیک بود. هکرها موفق شده بودند کدهای اصلی افزونه را دستکاری کنند.
مکانیسم سرقت:
در نسخه آلوده (v2.68)، یک اسکریپت مخرب اضافه شده بود که وظیفهاش پایش ورودیهای کاربر بود. به محض اینکه کاربر رمز عبور خود را وارد میکرد یا کیف پول جدیدی میساخت، این اسکریپت به صورت مخفیانه عبارت بازیابی ۱۲ کلمهای (Seed Phrase) را کپی کرده و به سرور هکرها ارسال میکرد.
طبق گزارش شرکت امنیتی SlowMist، هکرها دامنهای به نام metrics-trustwallet[.]com را ثبت کرده بودند که ظاهری شبیه به دامنههای رسمی داشت، اما در واقع مقصدی برای جمعآوری کلیدهای خصوصی دزدیده شده بود.
۳. واکنش بایننس و تراست ولت: وعده بازپرداخت ۷ میلیون دلاری
پس از تایید حمله، تیم تراست ولت بلافاصله نسخه اصلاحشده (v2.69) را منتشر کرد و کد مخرب را حذف نمود. اما سوال اصلی کاربران مالباخته این بود: "پول ما چه میشود؟"
در یک اقدام کمسابقه، چانگپنگ ژائو (CZ)، بنیانگذار بایننس (که مالکیت تراست ولت را در اختیار دارد)، شخصاً در توییتر وارد عمل شد. او اعلام کرد که حجم خسارت حدود ۷ میلیون دلار برآورد شده است و تراست ولت تمامی خسارت کاربران زیاندیده را جبران خواهد کرد.
"تا اینجا ۷ میلیون دلار تحت تاثیر این هک قرار گرفته است. تراست ولت این مبلغ را پوشش خواهد داد. سرمایه کاربران امن است (SAFU). از صبر شما متشکریم."
۴. آمار ترسناک ۲۰۲۵: سالی که ۳.۴ میلیارد دلار بر باد رفت
این حمله تنها نوک کوه یخ بود. سال ۲۰۲۵ به عنوان یکی از تاریکترین سالهای امنیت سایبری در تاریخ کریپتو ثبت شده است. طبق گزارش شرکت Chainalysis، مجموع سرقتهای کریپتویی در سال ۲۰۲۵ از مرز ۳.۴ میلیارد دلار عبور کرده است.
- رکوردشکنی کره شمالی: هکرهای وابسته به کره شمالی (گروه Lazarus) به تنهایی مسئول سرقت بیش از ۲ میلیارد دلار در سال ۲۰۲۵ بودهاند که یک رکورد تاریخی است.
- تغییر تاکتیک: برخلاف سالهای قبل که تمرکز روی پلهای بلاکچین (Bridges) بود، در سال ۲۰۲۵ حملات به "کیف پولهای شخصی" و "افزونههای مرورگر" افزایش چشمگیری داشته است.
۵. درسهای امنیتی: چرا افزونههای مرورگر پاشنه آشیل هستند؟
افزونههای مرورگر (Browser Extensions) ذاتاً آسیبپذیرتر از اپلیکیشنهای موبایل یا دسکتاپ هستند. آنها دائماً به اینترنت متصلاند و میتوانند تحت تاثیر آسیبپذیریهای خودِ مرورگر کروم یا بدافزارهای نصب شده روی سیستم قرار بگیرند.
حادثه تراست ولت نشان داد که حتی دانلود از "منبع رسمی" (Chrome Web Store) هم امنیت ۱۰۰ درصدی را تضمین نمیکند، چرا که ممکن است اکانت توسعهدهنده هک شده باشد.
۶. راهنمای فوری: اگر کاربر تراست ولت هستید چه کنید؟
اگر شما هم از افزونه تراست ولت استفاده میکنید، همین الان این مراحل را انجام دهید:
- بررسی نسخه: روی آیکون افزونه کلیک کنید و مطمئن شوید نسخه شما 2.69 یا بالاتر است. اگر نسخه 2.68 را دارید، بلافاصله آن را حذف کنید.
- ساخت کیف پول جدید: اگر در بازه زمانی ۲۴ تا ۲۶ دسامبر از کیف پول خود استفاده کردهاید، اکیداً توصیه میشود یک کیف پول جدید (با کلمات بازیابی جدید) بسازید و داراییهای باقیمانده را به آن منتقل کنید. فرض را بر این بگذارید که کلید خصوصی قبلی شما لو رفته است.
- مهاجرت به سختافزار: برای مبالغ بالا، هرگز از افزونه مرورگر استفاده نکنید. خرید یک "کیف پول سختافزاری" (Hardware Wallet) مثل لجر یا ترزور، تنها راهی است که کلید خصوصی شما را از اینترنت جدا نگه میدارد.
۷. جمعبندی: آینده امنیت در وب ۳
هک ۶ میلیون دلاری تراست ولت، زنگ خطری جدی برای کل اکوسیستم بود. هرچند وعده بازپرداخت خسارت توسط بایننس/تراست ولت اقدامی تحسینبرانگیز بود و جلوی یک بحران اعتماد بزرگتر را گرفت، اما نشان داد که تمرکززدایی هنوز راه درازی در پیش دارد.
در دنیایی که یک آپدیت کوچک میتواند میلیونها دلار را در چند ساعت ناپدید کند، "امنیت شخصی" دیگر یک انتخاب نیست، بلکه یک ضرورت است. همانطور که ضربالمثل معروف کریپتویی میگوید: "نه کلیدهای تو، نه کوینهای تو" (Not your keys, not your coins).