حفره امنیتی در افزونه تراستولت ۷ میلیون دلار ارز دیجیتال را به باد داد
صبح روز گذشته هزاران کاربر کیف پول محبوب تراستولت با موجودی صفر در کیف پولهای خود مواجه شدند. بررسیهای اولیه تیم امنیتی تراستولت و شرکتهای تحلیل آنچین تأیید کرد که یک حمله سایبری پیچیده از نوع زنجیره تأمین رخ داده است. در این حمله، هکرها موفق شدند کدهای مخربی را به طور مستقیم وارد هستۀ نرمافزاری افزونه مرورگر این کیف پول کنند.
این کدها وظیفه داشتند کلمات بازیابی و کلیدهای خصوصی کاربران را در لحظه استفاده از کیف پول استخراج و به سرورهای تحت کنترل مهاجمان ارسال کنند.
جزئیات فنی حمله و نحوه سرقت
تحقیقات فنی نشان میدهد که مهاجمان از یک کتابخانه تحلیل داده متنباز به نام posthog-js سوءاستفاده کردهاند. این کتابخانه که به طور معمول برای جمعآوری دادههای آماری و رفتار کاربران استفاده میشود، در نسخه ۲.۶۸ افزونه تراستولت دستکاری شده بود. هکرها با تغییر کدهای داخلی این کتابخانه، فرآیندی را ایجاد کردند که به محض باز شدن کیف پول توسط کاربر و وارد کردن رمز عبور، تمامی اطلاعات حیاتی شامل کلیدهای خصوصی به یک دامنه مخرب ارسال میشد. این دامنه تنها چند روز قبل از حمله ثبت شده بود.
نکته قابل تامل در حملۀ هکری انجام شده این است که کاربر برای از دست دادن دارایی خود نیاز به کلیک روی لینک فیشینگ یا تأیید تراکنش مشکوک نداشته است. فقط استفاده از نسخه آلوده ۲.۶۸ و باز کردن آن برای کار با کیف پول، کافی بود تا اسکریپت مخرب در پسزمینه اجرا شود و اطلاعات را سرقت کند. دادههای آنچین نشان میدهد که داراییهای دیجیتال تخلیه شده تاکنون شامل حدود ۳ میلیون دلار بیتکوین، ۴۳۱ دلار سولانا و بیش از ۳ میلیون دلار اتریوم بوده است. این وجوه بلافاصله پس از سرقت به صرافیهای متمرکز و سرویسهای میکسر برای پولشویی منتقل شدهاند.
چرایی وقوع حمله؛ ضعف در زنجیره تأمین
دلیل اصلی موفقیت این نفوذ، دسترسی مهاجمان به زیرساختهای توسعه و انتشار نرمافزار تراستولت بوده است. برخلاف حملات معمول فیشینگ که کاربر را فریب میدهند، در این روش هکرها خود ابزار را آلوده میکنند. گزارشها حاکی از آن است که مهاجمان به احتمال قوی به کلیدهای دسترسی توسعهدهندگان فروشگاه وب کروم دسترسی پیدا کردهاند و این امکان را یافتهاند که نسخه مخرب را به عنوان یک بهروزرسانی رسمی و معتبر منتشر کنند. این مسئله باعث شد تا مکانیزمهای امنیتی گوگل نیز در وهله اول متوجه مخرب بودن کد نشوند؛ چرا که کد مخرب در قالب یک ابزار تحلیل داده عادی پنهان شده بود.
این نوع حملات نشاندهنده سطح جدیدی از تهدیدات در زیستبوم ارزهای دیجیتال در سال ۲۰۲۵ است. در حالی که پیش از این تمرکز هکرها بر مهندسی اجتماعی بود، اکنون زیرساختهای سرویسدهندگان کیف پول هدف قرار گرفته است. تیم توسعهدهندۀ تراستولت بعد از این حملۀ هکری، نسخه ۲.۶۹ را منتشر کرد که حاوی وصله امنیتی است و کدهای مخرب از آن حذف شدهاند. البته توجه به این نکته ضروری است که خطر برای کاربرانی که در فاصله زمانی انتشار نسخه آلوده (۴ تا ۶ دیماه) از کیف پول استفاده کردهاند، همچنان باقی است و باید هرچه سریعتر کیف پول جدیدی ایجاد کنند.
راهکارهای امنیتی و تغییر رویکرد در نگهداری دارایی
وقوع چنین حملاتی بار دیگر بحث امنیت در نگهداری داراییهای دیجیتال را داغ کرده است. کارشناسان همواره تأکید میکنند که اتکا به کیف پولهای نرمافزاری برای نگهداری مبالغ سنگین، ریسک بالایی به همراه دارد. حسین غضنفری، کارشناس فعال حوزه مالی و امنیت بلاکچین، در گفتوگو با خبرنگار آناتک ضمن اشاره به ماهیت آسیبپذیر کیف پولهای آنلاین، راهکار اصلی را تغییر ابزار نگهداری میداند.
وی در خصوص این حمله و امنیت کلی کیف پولها گفت: «این اولین بار نیست که تراستولت امنیت کاربران را به خطر میاندازد و به طور قطع آخرین بار هم نخواهد بود. ماهیت تراستولت به عنوان یک کیف پول نرمافزاری، سطح پایینی از امنیت را تضمین میکند. اگر هکر به دستگاه کاربر یا کدهای برنامه دسترسی پیدا کند، سرقت داراییها به راحتی امکانپذیر است؛ بنابراین از نظر فنی به هیچ عنوان کیف پولهای نرمافزاری را برای مبالغ بالا پیشنهاد نمیکنم. کاربران برای تجربه امنیت مناسب باید حتماً از کیف پول سختافزاری استفاده کنند.»
او در ادامۀ گفتههای خود اضافه میکند: «حتی اگر دستگاهی که کیف پول نرمافزاری روی آن نصب است خاموش و به صورت سرد نگهداری شود، خطر به صفر نمیرسد؛ چرا که به محض اتصال مجدد به اینترنت برای انجام تراکنش، دارایی در معرض ریسک قرار میگیرد.»
آمار نگرانکننده امنیت سایبری در سال ۲۰۲۵
سال ۲۰۲۵ تا بدینجا رکوردهای جدیدی را در زمینه سرقتهای کریپتویی ثبت کرده است. بر اساس گزارش جامع «جنایات کریپتویی ۲۰۲۵» که توسط شرکت تحلیل داده Chainalysis منتشر شد، مجموع داراییهای به سرقت رفته در سال جاری میلادی از مرز ۳.۴ میلیارد دلار عبور کرده است. این رقم از بازگشت روند صعودی سرقتها پس از کاهش نسبی در سال ۲۰۲۳ و اوایل ۲۰۲۴ حکایت دارد، همچنین نقش هکرهای وابسته به کره شمالی در این میان بسیار پررنگ گزارش شده است.
گزارشهای رسانهای نشان میدهد که سهم حملات زنجیره تأمین، مشابه الگوی حمله اخیر به تراستولت، با رشدی خیرهکننده نسبت به سال گذشته، به مخربترین روش نفوذ از نظر حجم خسارت تبدیل شده است. همچنین طبق دادههای سکوی امنیتی CertiK در گزارش سالانه Hack3D، فقط در ماههای پایانی سال ۲۰۲۵، صدها میلیون دلار از طریق آسیبپذیریهای مرتبط با مرورگر و زیرساختها از کاربران سرقت شده است. این آمار تأیید میکند که هکرها تمرکز خود را از قراردادهای هوشمند پیچیده به سمت ابزارهای دسترسی کاربران تغییر دادهاند.
اقدامات ضروری برای پیشگیری
رعایت پروتکلهای امنیتی استاندارد با توجه به پیچیدگی روزافزون حملات، برای هر کاربری الزامی است. بر اساس دستورالعملهای امنیتی منتشر شده در BankLess و هشدارهای بنیاد اتریوم، کاربران باید لایههای امنیتی زیر را بلافاصله فعال کنند:
۱. استفاده از کیف پول سرد: داراییهای اصلی باید در کیف پولهای سختافزاری نگهداری شوند. در این دستگاهها، کلید خصوصی هرگز در محیط آنلاین قرار نمیگیرد و حتی در صورت آلوده بودن کامپیوتر، امکان سرقت بدون تایید فیزیکی روی دستگاه وجود ندارد.
۲. تفکیک محیط عملیاتی: برای انجام تراکنشهای مالی از یک مرورگر مجزا استفاده کنید که هیچ افزونۀ متفرقه، دانلودر یا ابزار تغییر آیپی روی آن نصب نباشد. هر افزونه اضافی، یک در پشتی احتمالی برای هکرهاست.
۳. مدیریت دسترسیها: به صورت دورهای با مراجعه به ابزارهای معتبری مانند Revoke.cash، دسترسیهایی که در گذشته به سایتها و قراردادهای هوشمند دادهاید را بررسی و دسترسیهای غیرضروری یا مشکوک را لغو کنید.
۴. استفاده از ابزارهای شبیهساز تراکنش: نصب افزونههای امنیتی مانند Wallet Guard یا Pocket Universe که پیش از امضای نهایی تراکنش، نتیجه آن را شبیهسازی کرده و به کاربر نشان میدهند، میتواند از بسیاری از سرقتها جلوگیری کند.
این حادثه زنگ خطری جدی برای تمامی کاربران فضای وب ۳ است تا در استراتژیهای امنیتی خود تجدید نظر کنند و آگاه باشند که در دنیای غیرمتمرکز، نقش خود کاربر از هرکسی در حفظ امنیت داراییهای او بیشتر است.
انتهای پیام/