Trust Wallet از کاربران خود خواسته است افزونه Google Chrome این کیف پول را فوراً به آخرین نسخه بروزرسانی کنند؛ اقدامی که پس از آنچه این شرکت از آن بهعنوان یک «رخداد امنیتی» یاد کرده انجام شده و منجر به سرقت حدود ۷ میلیون دلار دارایی دیجیتال شده است.
بر اساس اعلام Trust Wallet، این مشکل نسخه 2.68 افزونه Chrome را تحت تأثیر قرار داده است. طبق اطلاعات منتشرشده در Chrome Web Store، این افزونه حدود یک میلیون کاربر دارد. به کاربران توصیه شده است در سریعترین زمان ممکن به نسخه 2.69 ارتقا دهند.
Trust Wallet در پستی در شبکه X اعلام کرد:
«ما تأیید کردهایم که حدود ۷ میلیون دلار تحت تأثیر این رخداد قرار گرفته و اطمینان میدهیم تمام کاربران آسیبدیده بازپرداخت خواهند شد. پشتیبانی از کاربران متأثر، اولویت اصلی ماست و فرآیند جبران خسارت بهصورت فعال در حال نهایی شدن است.»
این شرکت همچنین به کاربران هشدار داده است که از تعامل با هرگونه پیام یا لینک خارج از کانالهای رسمی Trust Wallet خودداری کنند.
کاربران موبایل و سایر نسخههای افزونه مرورگر (غیر از Chrome نسخه 2.68) تحت تأثیر این رخداد قرار نگرفتهاند.
جزئیات فنی حمله: کد مخرب در نسخه 2.68
بر اساس اطلاعات منتشرشده توسط شرکت امنیت بلاکچین SlowMist، نسخه 2.68 افزونه Chrome شامل کد مخرب بوده که برای پیمایش تمام کیف پولهای ذخیرهشده در افزونه طراحی شده و برای هر کیف پول، درخواست بازیابی Mnemonic Phrase را فعال میکرده است.
SlowMist توضیح داد:
«Mnemonic رمزنگاریشده با استفاده از رمز عبور یا passkeyPassword واردشده هنگام باز کردن قفل کیف پول، رمزگشایی میشود. پس از رمزگشایی، عبارت بازیابی به سرور مهاجم با آدرس api.metrics-trustwallet[.]com ارسال میشود.»
دامنه metrics-trustwallet[.]com در تاریخ 8 دسامبر 2025 ثبت شده و اولین درخواستها به زیردامنه api.metrics-trustwallet[.]com از 21 دسامبر 2025 آغاز شدهاند.
سوءاستفاده از کتابخانه متنباز PostHog
تحلیلهای بیشتر نشان دادهاند که مهاجم از یک کتابخانه متنباز تحلیل زنجیرهای با نام posthog-js برای جمعآوری اطلاعات کاربران کیف پول استفاده کرده است.
داراییهای دیجیتال سرقتشده تاکنون شامل موارد زیر است:
حدود ۳ میلیون دلار بیتکوین
۴۳۱ دلار سولانا
بیش از ۳ میلیون دلار اتریوم
این وجوه از طریق صرافیهای متمرکز (CEX) و Cross-chain Bridgeها برای پولشویی و تبدیل جابهجا شدهاند.
طبق بهروزرسانی منتشرشده توسط محقق بلاکچین ZachXBT، این رخداد منجر به آسیب دیدن صدها قربانی شده است.
شرکت PeckShield اعلام کرد:
«در حالی که حدود ۲.۸ میلیون دلار از وجوه سرقتشده همچنان در کیف پولهای هکر (Bitcoin / EVM / Solana) باقی مانده، بخش عمدهای از داراییها – بیش از ۴ میلیون دلار – به صرافیهای متمرکز منتقل شدهاند: حدود ۳.۳ میلیون دلار به ChangeNOW، حدود ۳۴۰ هزار دلار به FixedFloat و حدود ۴۴۷ هزار دلار به KuCoin.»
منبع نفوذ: تغییر مستقیم کد داخلی، نه وابستگی ثالث
SlowMist تأکید کرده است:
«این رخداد بکدور ناشی از تغییر مخرب در کد منبع داخلی افزونه Trust Wallet (منطق آنالیتیکس) بوده و نه بهدلیل تزریق یک وابستگی ثالث آلوده (مانند بسته مخرب npm).»
بر اساس این تحلیل:
«مهاجم مستقیماً کد برنامه را دستکاری کرده و سپس از کتابخانه قانونی PostHog بهعنوان کانال استخراج داده استفاده کرده و ترافیک تحلیلی را به سروری تحت کنترل خود هدایت کرده است.»
Trust Wallet اعلام کرده است احتمال میدهد این حمله توسط یک بازیگر دولتی (Nation-State Actor) انجام شده باشد و افزوده که مهاجمان ممکن است پیش از 8 دسامبر 2025 به دستگاههای توسعهدهندگان Trust Wallet یا مجوزهای استقرار (Deployment Permissions) دسترسی پیدا کرده باشند.
فرضیه حمله داخلی
چانگپنگ ژائو (CZ)، همبنیانگذار صرافی Binance (مالک Trust Wallet)، اشاره کرده است که این اکسپلویت «بهاحتمال زیاد» توسط یک فرد داخلی (Insider) انجام شده است، هرچند شواهد فنی مستقلی برای اثبات این ادعا ارائه نشده است.
بروزرسانی: فرآیند جبران خسارت و هشدار درباره کلاهبرداریها
Trust Wallet در بروزرسانی بعدی اعلام کرد کاربران آسیبدیده باید برای آغاز فرآیند جبران خسارت، فرمی را در پورتال پشتیبانی این شرکت به آدرس زیر تکمیل کنند:
trustwallet-support.freshdesk[.]com
اطلاعات موردنیاز شامل:
ایمیل تماس
کشور محل اقامت
آدرس یا آدرسهای کیف پول آسیبدیده
آدرس مقصد انتقال داراییهای سرقتشده
هش تراکنشها (Transaction Hash)
این شرکت هشدار داد:
«ما شاهد کلاهبرداری از طریق تبلیغات تلگرام، فرمهای جعلی “جبران خسارت”، اکانتهای پشتیبانی جعلی و پیامهای مستقیم هستیم. همیشه لینکها را بررسی کنید، هرگز عبارت بازیابی خود را به اشتراک نگذارید و فقط از کانالهای رسمی Trust Wallet استفاده کنید.»
توضیحات مدیرعامل Trust Wallet
Eowyn Chen، مدیرعامل Trust Wallet، اعلام کرد تحقیقات درباره این رخداد همچنان ادامه دارد و تأکید کرد این مشکل فقط کاربران افزونه Chrome نسخه 2.68 را که پیش از 26 دسامبر 2025 ساعت 11:00 UTC وارد افزونه شدهاند، تحت تأثیر قرار میدهد.
او گفت:
«افزونه مخرب نسخه 2.68 از طریق فرآیند دستی داخلی ما منتشر نشده است. یافتههای فعلی نشان میدهد این نسخه بهاحتمال زیاد از طریق کلید API فروشگاه Chrome و با دور زدن کنترلهای انتشار استاندارد ما منتشر شده است.»
به گفته وی:
«هکر با استفاده از یک Chrome Web Store API Key نشتکرده، نسخه مخرب 2.68 را ارسال کرده است. این نسخه با موفقیت از بررسیهای فروشگاه Chrome عبور کرده و در تاریخ 24 دسامبر 2025 ساعت 12:32 UTC منتشر شده است.»
پس از شناسایی رخداد، Trust Wallet اعلام کرد اقدامات زیر انجام شده است:
تعلیق دامنه مخرب
ابطال تمام APIهای انتشار
آغاز فرآیند بازپرداخت به قربانیان
