- افزونه Trust Wallet نسخه 2.68 به دلیل مشکوک بودن به نقض زنجیره تأمین پس از بهروزرسانی 24 دسامبر مرتبط است.
- کاربران از خرج شدن کیف پول پس از وارد کردن عبارات بازیابی گزارش دادند؛ زیانها بیش از 6 میلیون دلار تخمین زده میشود.
- Trust Wallet مشکل را تأیید کرد و توصیه به بهروزرسانی به نسخه 2.69 نمود؛ اپلیکیشنهای موبایل تحت تأثیر قرار نگرفتهاند.
مسائل امنیتی پیرامون افزونه مرورگر Trust Wallet پس از گزارشهای مرتبط با بهروزرسانی اخیر با دسترسی غیرمجاز احتمالی و خرج شدن کیف پول مطرح شد که باعث هشدارهایی از سوی محققان بلاک چین و توسعهدهندگان امنیتمحور گردید. این حادثه توجه را به نسخه 2.68 افزونه جلب کرد که بعداً توسط Trust Wallet تأیید شد.
مشکل پس از اعلانهای بازرس بلاک چین ZachXBT مطرح شد که گزارش داد پیامهایی از صدها کاربر دریافت کرده است که ادعا میکردند موجودی کیف پولهایشان پس از وارد کردن عبارات بازیابی در افزونه مرورگر کاهش یافته است.
بر اساس بررسیهای فنی منتشر شده توسط توسعهدهندگان، بهروزرسانی افزونه مرورگر منتشر شده در 24 دسامبر ممکن است منجر به تزریق کد مخرب از طریق مشکوک بودن به نقض زنجیره تأمین شده باشد.
محققانی که بهروزرسانی را بررسی میکنند ادعا میکنند که یک فایل JavaScript اخیراً اضافه شده در افزونه جاسازی شده و ظاهراً به عنوان عملکرد تحلیلی پنهان شده است. گزارش شده است که فایل تنها هنگام وارد کردن عبارت بازیابی فعال میشد و پس از آن دادههای حساس مرتبط با کیف پول را به یک دامنه خارجی که با زیرساخت رسمی Trust Wallet طراحی شده بود، منتقل میکرد.
شاخصهای نقض احتمالی زنجیره تأمین
دامنه خارجی ذکر شده در گزارشها تنها چند روز قبل از حادثه ثبت شده بود و بعداً از شبکه خارج شد. تحلیلگران اشاره کردند که ایجاد اخیر دامنه همراه با زمان بهروزرسانی باعث نگرانی شد که حادثه ممکن است نتیجه یک حمله هماهنگ به زنجیره تأمین باشد، نه تلاشهای فیشینگ جداگانه یا اشتباهات کاربران.
تحلیل آنچین که محققان جامعه به آن اشاره کردند نشان داد که وجوه به خطر افتاده از چندین آدرس عبور کردند. به گفته آنها، این الگو اغلب با روشهای بهرهبرداری خودکار مرتبط است. برآوردهای عمومی منتشر شده در اینترنت پیشنهاد میکردند که زیانها ممکن است از 6 میلیون دلار فراتر روند، اگرچه این ارقام به طور مستقل تأیید نشدهاند.
Trust Wallet دامنه و رفع مشکلات را تأیید میکند
بعداً، در 25 دسامبر، Trust Wallet تأیید کرد که حادثه امنیتی به افزونه مرورگر نسخه 2.68 محدود شده است. در بیانیهای شرکت به کاربران توصیه کرد فوراً این نسخه را غیرفعال کرده و به نسخه 2.69 که به گفته آنها شامل رفع مشکل است، بهروزرسانی کنند. Trust Wallet اضافه کرد که هیچ نسخه دیگری از افزونههای مرورگر و هیچ یک از اپلیکیشنهای موبایل آن تحت تأثیر قرار نگرفتهاند.
شرکت همچنین اعلام کرد که خدمات پشتیبانی آن شروع به تماس با کاربران آسیبدیده کرده و در حال بررسی حادثه است. جزئیاتی درباره علت فنی یا جبران خسارت احتمالی ارائه نشد.
مرتبط: Trust Wallet موجودیها را پس از خرابی همگامسازی داده بازیابی میکند؛ وجوه در امنیت هستند
سلب مسئولیت: اطلاعات ارائه شده در این مقاله تنها برای اهداف اطلاعاتی و آموزشی است. این مقاله مشاوره مالی یا مشاوره از هر نوعی را تشکیل نمیدهد. Coin Edition مسئولیتی در قبال ضررهای ناشی از استفاده از محتوا، محصولات یا خدمات ذکر شده ندارد. به خوانندگان توصیه میشود قبل از انجام هر اقدامی مرتبط با شرکت احتیاط کنند.
Source: https://coinedition.com/trust-wallet-%D0%BF%D0%BE%D0%B4%D1%82%D0%B2%D0%B5%D1%80%D0%B4%D0%B8%D0%BB-%D0%BF%D1%80%D0%BE%D0%B1%D0%BB%D0%B5%D0%BC%D1%83-%D1%81-%D0%B1%D0%B5%D0%B7%D0%BE%D0%BF%D0%B0%D1%81%D0%BD%D0%BE%D1%81%D1%82/
