به‌روزرسانی‌ای که کیف پول‌ها را خالی کرد

دقیقاً چه اتفاقی در حادثه Trust Wallet رخ داد

مرحله ۱: به‌روزرسانی جدید افزونه مرورگر منتشر شد

یک به‌روزرسانی جدید برای افزونه مرورگر Trust Wallet در ۲۴ دسامبر منتشر شد.

• به‌روزرسانی معمولی به نظر می‌رسید.

• هیچ هشدار امنیتی مهمی همراه آن نبود.

• کاربران آن را از طریق فرآیند معمول به‌روزرسانی نصب کردند.

در این مرحله، هیچ چیز مشکوکی به نظر نمی‌رسید.

مرحله ۲: کد جدیدی به افزونه اضافه شد

پس از به‌روزرسانی، محققان که فایل‌های افزونه را بررسی می‌کردند، تغییراتی در یک فایل JavaScript به نام 4482.js مشاهده کردند.

مشاهده کلیدی:

این مهم است زیرا کیف پول‌های مرورگر محیط‌های بسیار حساسی هستند؛ هر منطق خروجی جدید خطر بالایی ایجاد می‌کند.

مرحله ۳: کد به عنوان "Analytics" ظاهر شد

منطق اضافه شده به عنوان کد تجزیه و تحلیل یا telemetry ظاهر شد.

به طور خاص:

• شبیه منطق ردیابی مورد استفاده توسط SDK های رایج تجزیه و تحلیل به نظر می‌رسید.

• همیشه ترایگر نمی‌شد.

• فقط در شرایط خاصی فعال می‌شد.

این طراحی تشخیص آن را در طول تست‌های معمولی سخت‌تر کرد.

مرحله ۴: شرط ترایگر — وارد کردن عبارت بازیابی

مهندسی معکوس جامعه نشان می‌دهد که منطق زمانی ترایگر می‌شد که کاربر یک عبارت بازیابی را به افزونه وارد می‌کرد.

چرا این حیاتی است:

• وارد کردن عبارت بازیابی کنترل کامل کیف پول را می‌دهد.

• این یک لحظه یک‌بار مصرف و با ارزش بالاست.

• هر کد مخرب فقط باید یک بار عمل کند.

کاربرانی که فقط از کیف پول‌های موجود استفاده می‌کردند ممکن است این مسیر را ترایگر نکرده باشند.

مرحله ۵: داده‌های کیف پول به صورت خارجی ارسال شد

زمانی که شرط ترایگر رخ داد، کد ادعا می‌شود که داده‌ها را به یک نقطه پایانی خارجی ارسال کرد:

metrics-trustwallet[.]com

آنچه باعث هشدار شد:

• دامنه بسیار شبیه یک زیردامنه معتبر Trust Wallet به نظر می‌رسید.

• تنها چند روز قبل ثبت شده بود.

• به صورت عمومی مستند نشده بود.

• بعداً آفلاین شد.

حداقل، این ارتباط خروجی غیرمنتظره از افزونه کیف پول را تأیید می‌کند.

مرحله ۶: مهاجمان بلافاصله اقدام کردند

کمی پس از وارد کردن عبارت بازیابی، کاربران گزارش دادند:

• کیف پول‌ها در عرض چند دقیقه خالی شدند.

• دارایی‌های متعدد به سرعت منتقل شدند.

• نیازی به تعامل بیشتر کاربر نبود.

رفتار زنجیره‌ای نشان داد:

• الگوهای تراکنش خودکار.

• آدرس‌های مقصد متعدد.

• بدون جریان تأیید فیشینگ واضح.

این نشان می‌دهد که مهاجمان قبلاً دسترسی کافی برای امضای معاملات داشتند.

مرحله ۷: وجوه در آدرس‌ها تجمیع شدند

دارایی‌های سرقت شده از طریق چندین کیف پول تحت کنترل مهاجم هدایت شدند.

چرا این مهم است:

• نشان‌دهنده هماهنگی یا اسکریپت‌نویسی است.

• وابستگی به یک آدرس واحد را کاهش می‌دهد.

• با رفتار دیده شده در سوءاستفاده‌های سازمان‌یافته مطابقت دارد.

تخمین‌ها بر اساس آدرس‌های ردیابی شده نشان می‌دهد میلیون‌ها دلار جابجا شد، اگرچه مجموع‌ها متفاوت است.

مرحله ۸: دامنه تاریک شد

پس از افزایش توجه:

• دامنه مشکوک از پاسخ دادن باز ایستاد.

• هیچ توضیح عمومی فوراً ارائه نشد.

• اسکرین‌شات‌ها و شواهد ذخیره شده حیاتی شدند.

این با مهاجمانی که زیرساخت را پس از افشا شدن نابود می‌کنند، سازگار است.

مرحله ۹: تأیید رسمی بعداً انجام شد

Trust Wallet بعداً تأیید کرد:

• یک حادثه امنیتی بر نسخه خاصی از افزونه مرورگر تأثیر گذاشت.

• کاربران موبایل تحت تأثیر قرار نگرفتند.

• کاربران باید افزونه را ارتقا دهند یا غیرفعال کنند.

با این حال، هیچ تجزیه فنی کامل بلافاصله ارائه نشد تا توضیح دهد:

• چرا دامنه وجود داشت.

• آیا عبارت بازیابی افشا شد.

• آیا این یک مسئله داخلی، شخص ثالث یا خارجی بود.

این شکاف، حدس و گمان‌های مداوم را تقویت کرد.

آنچه تأیید شده است

• یک به‌روزرسانی افزونه مرورگر رفتار خروجی جدیدی را معرفی کرد.

• کاربران کمی پس از وارد کردن عبارت بازیابی وجوه خود را از دست دادند.

• این حادثه به یک نسخه خاص محدود بود.

• Trust Wallet یک مسئله امنیتی را تصدیق کرد.

آنچه به شدت مشکوک است

• یک مسئله زنجیره تأمین یا تزریق کد مخرب.

• عبارت بازیابی یا توانایی امضا در معرض دید قرار گرفته است.

• منطق تجزیه و تحلیل مورد سوء استفاده یا به عنوان سلاح استفاده شده است.

آنچه هنوز ناشناخته است

• آیا کد عمداً مخرب بود یا در بالادست به خطر افتاد.

• چند کاربر تحت تأثیر قرار گرفتند.

• آیا داده‌های دیگری برداشته شد.

• انتساب دقیق مهاجمان.

چرا این حادثه مهم است

این فیشینگ معمولی نبود.

این برجسته می‌کند:

• خطر افزونه‌های مرورگر.

• ریسک اعتماد کورکورانه به به‌روزرسانی‌ها.

• چگونه کد تجزیه و تحلیل می‌تواند مورد سوء استفاده قرار گیرد.

• چرا مدیریت عبارت بازیابی حیاتی‌ترین لحظه در امنیت کیف پول است.

حتی یک آسیب‌پذیری کوتاه‌مدت می‌تواند عواقب جدی داشته باشد.