هک Multimillion TrustWallet: آنچه تاکنون شناخته شده است – U.Today

امیر کرمی
دسامبر 26, 2025
4:23 ب.ظ
بدون نظر
بازدید: 14

در اینجا توضیح می دهیم که TrustWallet چگونه هک شد و چرا اینقدر ویرانگر بود
تیم TrustWallet سکوت خود را می شکند: آیا ضرر و زیان جبران خواهد شد؟

TrustWallet با پشتیبانی بایننس، یکی از محبوب‌ترین کیف پول‌های ذخیره‌سازی شخصی در دنیای ارزهای دیجیتال، مورد حمله عجیب و غریب قرار گرفته است. بازیگران مخرب موفق شدند عبارات اولیه را ربوده، به طور مستقل کیف پول ها را بازیابی کنند و بیش از 7 میلیون دلار ارزهای دیجیتال مختلف را سرقت کنند.

در اینجا توضیح می دهیم که TrustWallet چگونه هک شد و چرا اینقدر ویرانگر بود

امروز، 26 دسامبر 2025، TrustWallet، یک کیف پول رمزنگاری چند زنجیره ای، مورد حمله یک هکر قرار گرفت. همانطور که توسط محققان امنیت سایبری فاش شد، کد مخرب (بارگیری جاوا اسکریپت) به نسخه v2.68.0 افزونه مرورگر Google Chrome TrustWallet تزریق شد.

این چیزی است که اتفاق افتاد:

4482.js در کد برنامه افزودنی مرورگر Trust Wallet
به‌روزرسانی اخیر کد مخفی را اضافه کرده است که داده‌های کیف پول را بی‌صدا به بیرون ارسال می‌کند
به نظر می رسد تجزیه و تحلیل است، اما فعالیت کیف پول را ردیابی می کند و زمانی که عبارت seed وارد می شود، فعال می شود
داده ارسال شده به: pic.twitter.com/8kkMUkDYql

— Akinator | Testnet Arc (@0xakinator) 25 دسامبر 2025

TrustWallet افزونه Chrome آلوده v2.68.0 را در 24 دسامبر 2025 توزیع کرد. اندکی بعد، کاربرانی که دانه های خود را از طریق این نسخه وارد کرده یا به آن دسترسی داشتند، بلافاصله شروع به ضرر کردند.

از نظر فنی، بردار حمله این بود: عنصر بدافزار توسط کیف پول به عنوان یک ماژول تجزیه و تحلیل شناسایی شد. در عوض، موفق شد به عبارات seed دسترسی پیدا کند و آنها را به فیلدهایی که چند روز قبل ایجاد شده بودند ارسال کند.

برای جلوگیری از افشای این موضوع، فیلدها با عناوینی مانند “TrustWallet Metrics”، “TrustWallet Metrics API” و موارد مشابه پوشانده شدند. در همان زمان، زمانی که یادآوری ها لو رفت، عوامل مخرب کیف پول ها را در زیرساخت خود بازیابی کردند (“وارد کردند”) و به طور قانونی وجوه را برداشت کردند.

این طراحی هک را بسیار خطرناک و بی صدا کرد. با به خطر افتادن عبارات اولیه توسط بازیگران بد، نیازی به تایید، مجوز یا حتی باز کردن کیف پول نیست. به همین دلیل، تنها توصیه محققان امنیتی بستن کامپیوترهای دارای TrustWallet نصب شده از اینترنت بود.

من به طور ناشناس با یکی از اعضای تیم TW صحبت کردم و تا آنجا که من می دانم، اگر افزونه TW را در گوگل دارید و در آنجا پول دارید، شبکه و اتصال اینترنت رایانه ای که روی آن نصب شده است را قطع کنید. این آسیب را به حداقل می رساند. https://t.co/zmUNzxaW7g

—Vladimir S. | یادداشت های افسر (@officer_secret) 25 دسامبر 2025

این حمله بر وجوه بیت کوین (BTC)، سولانا (SOL)، زنجیره هوشمند BNB (BSC) و تعدادی از اکوسیستم های EVM L2 تأثیر گذاشت.

تیم TrustWallet سکوت خود را می شکند: آیا ضرر و زیان جبران خواهد شد؟

لوت فوراً به ChangeNOW، FixFloat، KuCoin و HTX ارسال شد. در ابتدا، کاربران حتی نمی توانستند محاسبه کنند که چه مقدار رمزارز به سرقت رفته است.

طبق بیانیه رسمی TrustWallet، مجموع خالص زیان ها معادل 7 میلیون دلار است. توسعه دهندگان قبلا نسخه v2.69.0 را منتشر کرده اند و همه را تشویق می کنند تا آن را ارتقا دهند.

به‌روزرسانی رویداد افزونه مرورگر Trust Wallet (v2.68):

ما تأیید کرده‌ایم که تقریباً 7 میلیون دلار تحت تأثیر قرار گرفته است و اطمینان حاصل خواهیم کرد که بازپرداخت برای همه کاربران آسیب‌دیده صادر می‌شود.

حمایت از کاربران آسیب دیده اولویت اصلی ما است و ما فعالانه در حال نهایی کردن فرآیند بازپرداخت هستیم… https://t.co/2XRx8GvZ75

— کیف پول اعتماد (@TrustWallet) 26 دسامبر 2025

تیم TrustWallet به هر قربانی اطمینان داد که پول بازپرداخت خواهد شد. جزئیات دقیق برنامه جبران خسارت هنوز فاش نشده است.

قیمت TWT بلافاصله 8 درصد کاهش یافت و به 0.76 دلار رسید که پایین ترین سطح از اواسط سپتامبر است. با زمان مطبوعات، ضررها جذب شده بود.

نویسنده: Vladislav Sopov

اشتراک گذاری و حمایت

امیر کرمی

کارشناس تولید محتوا و علاقه مند به ارز دیجیتال و دنیای فناوری 😉

دیدگاهتان را بنویسید لغو پاسخ

برای نوشتن دیدگاه باید وارد بشوید.