هک تراست ولت فاجعه امنیتی، سرقت ۷ میلیون دلار از دارایی‌های کاربران!

پس‌از انتشار یک به‌روزرسانی جدید برای افزونه کروم تراست والت، تقریباً ۷ میلیون از دارایی‌های کاربران به سرقت رفت. «چانگ‌پنگ ژائو» یا «CZ»، یکی از بنیان‌گذاران صرافی بایننس، وعده جبران کامل خسارت‌ها را داده است. کاربران باید از نسخه ۲/۶۸ افزونه Trust Wallet دوری کنند و آن را به نسخه ۲/۶۹ ارتقا دهند.

تنها اندکی پس‌از انتشار یک نسخه جدید از افزونه مرورگر کروم تراست والت،‌ بیش‌از ۷ میلیون دلار از دارایی‌های کاربران به‌سرقت رفت. درست در روز کریسمس سال ۲۰۲۵، یک محقق آن‌چِین به‌نام مستعار ZachXBT، رخنه امنیتی در این کیف پول نرم‌افزاری را شناسایی کرد و در کانال تلگرامش نوشت:

«در چند ساعت گذشته، تعدادی از کاربران تراست والت گزارش داد‌ه‌اند که سرمایه‌شان از آدرس‌های کیف پول خالی شده است. دلیل اصلی این اتفاق هنوز مشخص نشده است؛ اما افزونه کروم تراست والت دیروز یک آپدیت جدید منتشر کرده بود.»

واکنش تراست والت به هک کریسمس

کمی بعد از اطلاع‌رسانی‌های اولیه توسط افراد غیررسمی، این اتفاق توسط تیم امنیتی تراست والت تأیید شد. تراست والت در توییتر خود نوشت:

یک حادثه امنیتی دررابطه‌با نسخه ۲/۶۸ افزونه کروم تراست والت را شناسایی کرده‌ایم. کاربرانِ نسخه ۲/۶۸ اکستنشن باید آن را غیرفعال و سپس به نسخه ۲/۶۹ آپدیت کنند. کاربران نسخه موبایل کیف پول یا سایر نسخه‌های افزونه از این اتفاق در امان هستند. ما می‌دانیم که این موضوع تا چه حد نگران‌کننده است و تیم‌مان به‌شدت روی حل مشکل کار می‌کند.

تراست والت هشدار داد که کاربران نسخه ۲/۶۸ افزونه، تا قبل‌از آپدیت به نسخه جدید به‌هیچ‌وجه آن را باز نکنند. چانگ‌پنگ ژائو، مدیرعامل سابق بایننس و یکی از هم‌بنیان‌گذاران این صرافی که مالک تراست والت نیز محسوب می‌شود، مدعی شده است که ضرر مالی کاربران مال‌باخته به‌طور کامل بازپرداخت خواهد شد.

هک افزونه کروم تراست والت چگونه اتفاق افتاد؟

کیف پول‌های ارز دیجیتال، حاوی کلید خصوصی جهت دسترسی به دارایی‌های ثبت‌شده در بلاکچین هستند. هکرها با ادغام بدافزار به فایل‌های آپدیت نسخه ۲/۶۸ افزونه توانستند به کلیدهای خصوصی دسترسی پیدا کنند. محققان پس‌از حادثه متوجه شدند که این هک، یک حمله مستقیم به زنجیره تأمین بوده است؛ یعنی هکرها ازطریق تغییر کدِ نرم‌افزار به دارایی‌ها دسترسی پیدا کرده‌اند و مقصر، تیم امنیتی تراست ولت است.

بدافزار به‌طور مخفیانه و در پوشش یک تکه کد مربوط به دریافت آمار استفاده از افزونه، درون فایل‌های جاوا اسکریپت آپدیت جاسازی شده بود. زمانی‌که کاربران پس‌از به‌روزرسانی، عبارت بازیابی (Seed Phrase) را وارد می‌کردند، بدافزار عبارت را به‌صورت خودکار در اختیار هکرها قرار می‌داد و آن‌ها هم ۷ میلیون دلار دارایی‌های کاربران را به آدرس‌های تحت مالکیت خودشان انتقال می‌دادند.

آسیب‌پذیری بالای کیف پول‌های نرم‌افزاری 

طبق برآوردهای Chainanalysis، پیش‌از هک تراست والت، حجم کل ارزهای دیجیتال سرقت‌شده در سال ۲۰۲۵ به ۳/۴۱ میلیارد دلار رسیده بود؛ همچنین تعداد ولت‌های هک‌شده از ۶۴ هزار کیف پول در سال ۲۰۲۴ به ۱۵۸ هزار ولت در سال ۲۰۲۵ افزایش یافته است.

این اتفاق بار دیگر نشان می‌دهد نگهداری دارایی‌های دیجیتال با مبالغ قابل‌توجه در کیف پول‌های نرم‌افزاری، به‌ویژه نسخه‌های افزونه مرورگر، می‌تواند ریسک‌های جدی امنیتی به‌همراه داشته باشد. این اتفاق در حالی رخ داد که متخصصان امنیتی و کاربران حرفه‌ای دنیای رمزارزها، خرید کیف پول سخت‌افزاری را یکی از نخستین شروط فعالیت در حوزه ارزهای دیجیتال عنوان کرده‌‌اند.

کیف پول‌های سرد معتبر هنگام آپدیت فریمور از مکانیزم‌های سفت‌وسختی جهت اعتبارسنجی فایل آپدیت استفاده می‌کنند؛ به‌همین‌خاطر تکرار تجربه تلخ هک و از دست رفتن سرمایه در این دستگاه‌ها تقریباً غیرممکن است.