امتداد كروم Trust Wallet: نص مخفي جمع المفاتيح الخاصة، ضرر يصل إلى 7 ملايين دولار

حادثة أمان خطيرة: الإصدار 2.68 يكشف عن عبارة المفتاح للمستخدمين

في 24-25 ديسمبر 2025، أصدرت Trust Wallet تحذيرًا عاجلاً يطلب من مستخدمي Chrome التوقف عن استخدام الإصدار 2.68 من الإضافة. اكتشفت الشركة ثغرة أمنية أثناء تنفيذ الشفرة، مما أدى إلى جمع غير مصرح به لعبارات المفتاح والمفاتيح الخاصة للمستخدمين. أبلغت التقارير الأولية عن خسائر إجمالية تقدر بحوالي 6-7 ملايين دولار عبر عدة سلاسل كتل خلال أول 48-72 ساعة.

الإضافة Trust Wallet على Chrome Web Store حالياً لديها حوالي مليون مستخدم مثبت. مدى التأثير الفعلي يعتمد على عدد الأشخاص الذين قاموا بتحديث إلى الإصدار 2.68 وأدخلوا معلومات حساسة أثناء وجود الخطأ. تؤكد Trust Wallet أن الإصدار المحمول والمنصات الأخرى غير متأثرة.

آلية الهجوم: كود JavaScript ضار يجمع أسرار المحفظة

اكتشف خبراء الأمن منطقًا مشبوهًا في حزمة تثبيت الإصدار 2.68. على وجه التحديد، في ملف JavaScript يحتوي على إشارة إلى ملف “4482.js”، اكتشف المحللون أن هذا الكود لديه القدرة على إرسال عبارة المفتاح والمفاتيح الخاصة إلى خادم خارجي.

عبارة المفتاح هي سلسلة من الكلمات تتيح فتح جميع العناوين الحالية والمستقبلية التي تم إنشاؤها منها. هذا يعني أنه إذا تم تسريب عبارة المفتاح، فإن جميع المحافظ والأصول على سلاسل الكتل المختلفة معرضة لخطر السحب الكامل. حدد فريق التحقق أعلى خطر للأشخاص الذين أدخلوا أو استعادوا عبارة المفتاح بعد تثبيت الإصدار المخترق.

الإجراءات الضرورية: التحديث غير كافٍ، يجب نقل الأصول

قد يؤدي التحديث إلى الإصدار 2.69 إلى إزالة الشفرة الضارة من الإضافة في المستقبل، لكن هذا لا يحمي الأصول تلقائيًا إذا تم اختراق عبارة المفتاح مسبقًا.

إذا قمت بإدخال أو استعادة عبارة المفتاح عند استخدام الإصدار 2.68، يجب أن تعتبر تلك العبارة قد تم تسريبها. تشمل خطوات الإصلاح القياسية:

• إنشاء عبارة مفتاح جديدة تمامًا
• نقل جميع الأصول إلى محفظة جديدة تم إنشاؤها من عبارة المفتاح الجديدة
• سحب أذونات التوكن (token approvals) على العقود الذكية إذا أمكن

قد تكون هذه الإجراءات مكلفة لأنها تتطلب نقل الأصول عبر سلاسل مختلفة. يحتاج المستخدمون إلى موازنة بين السرعة وتكلفة الغاز، خاصة عند التعامل مع معاملات الجسر عبر السلاسل.

عمليات الاحتيال “الإنقاذ الزائف” تتزايد

في نفس وقت وقوع الحادث، بدأت تظهر عمليات احتيال ثانوية. أنشأ المحتالون نطاقات “إصلاح المشكلة” المزورة، بهدف خداع المستخدمين لتقديم عبارة المفتاح تحت غطاء “دعم استعادة المحفظة”.

توصي Trust Wallet بعدم التفاعل مع أي رسائل غير منقولة من القنوات الرسمية. يمكن للمهاجمين انتحال فريق دعم Trust Wallet لجذب الضحايا. دائمًا تحقق من مصدر أي طلب يتعلق بعبارة المفتاح.

مشكلة أوسع: الإضافات هي نقطة ضعف في أمان المحافظ

تؤكد هذه الحادثة على خطر أساسي في إضافات المتصفح. فهي تقع في موقع حساس بين تطبيق الويب وعملية توقيع المعاملات، مما يسمح لها بالتدخل في المعلومات التي يعتمد عليها المستخدمون للتحقق من المعاملات.

تشير الدراسات الأكاديمية حول Chrome Web Store إلى أن الإضافات الضارة أو المخترقة يمكن أن تتجنب الرقابة التلقائية. مع تغير استراتيجيات الهجوم مع مرور الوقت، تقل قدرة الكشف. هذا الأمر مقلق بشكل خاص مع تحديثات المحافظ، حيث يتم إرباك الشفرة على جانب العميل — مما يصعب التحليل.

سابقة: قواعد توزيع البرمجيات

تثير الحادثة أيضًا أسئلة حول سلامة عملية تطوير وتوزيع البرمجيات. قد تشمل الحلول طويلة الأمد:

• بناء يمكن إعادة إنتاجه (reproducible builds)
• فصل المفاتيح (key separation)
• عملية استعادة أكثر وضوحًا

سيساعد ذلك المزودين والمنصات على تطوير طرق فحص وإرشاد للمستخدمين بشكل أفضل.

بيانات السوق: المستثمرون لا زالوا “في الانتظار”

على الرغم من الحادثة الخطيرة، يعكس سوق رمز TWT (Trust Wallet Token) معلومات معقدة. وفقًا لبيانات 12 يناير 2026:

• السعر الحالي: $0.89
• تغير خلال 24 ساعة: +0.13%
• الذروة خلال 24 ساعة: $0.90
• القاع خلال 24 ساعة: $0.86

هذه التقلبات تظهر أن المستثمرين لم يعيدوا تقييم الرمز بشكل أحادي الاتجاه. قد يكون التفاؤل ناتجًا عن التزامات استرداد الأموال من Trust Wallet أو الثقة في القدرة على معالجة الحادثة.

توقعات الخسائر: من 6-12 مليون دولار إلى $25 مليون+ خلال 2-8 أسابيع

الأسباب التي قد تؤدي إلى استمرار ارتفاع الخسائر تشمل:

• تقارير متأخرة من الضحايا
• إعادة تصنيف العناوين
• تحسين تتبع معاملات التبادل عبر السلاسل

يمكن تقسيم السيناريوهات الواقعية خلال 2-8 أسابيع القادمة إلى:

ويعتمد ذلك على: ما إذا كانت عملية جمع البيانات تقتصر على إدخال عبارة المفتاح على الإصدار 2.68، أو وجود هجمات إضافية، وسرعة إزالة النطاقات المزيفة.

جدول زمني للحادثة

• 24 ديسمبر: إصدار الإصدار 2.68؛ تبدأ تقارير السحب
• 25 ديسمبر: إصدار Trust Wallet الإصدار 2.69 لإصلاح الثغرة
• 48-72 ساعة: تم تحديد إجمالي الخسائر بحوالي 6-7 ملايين دولار

التوصيات النهائية من Trust Wallet

أكدت الشركة حاليًا أن حوالي 7 ملايين دولار تأثرت، وتلتزم برد الأموال لجميع المستخدمين المتضررين. إرشادات Trust Wallet كالتالي:

1. إيقاف الإضافة الإصدار 2.68 فورًا من Chrome
2. تحديث إلى الإصدار 2.69 من Chrome Web Store
3. إذا قمت بإدخال عبارة المفتاح باستخدام 2.68: اعتبر أن العبارة قد تم اختراقها، أنشئ عبارة جديدة ونقل الأصول
4. لا تتفاعل مع رسائل غير رسمية — قد ينصب المحتالون على فريق الدعم
5. انتظر تعليمات استرداد الأموال من القنوات الرسمية

هذه الحادثة تذكرنا بأنه، على الرغم من راحة الإضافات، يجب على المستخدمين تقييم مخاطر الأمان بعناية.