הפרצות בהרחבות הדפדפנים של Trust Wallet מרוקנות 7 מיליון דולר מהמשתמשים

by Admin |

סקירת האירוע

ב-26 בדצמבר 2025 עלו דיווחים על משיכות מסיביות ללא אישור מהתוסף לכרום של Trust Wallet, גרסה 2.68. בתוך שעות מן העדכון השגרתי תוקפים פרסו קוד זדוני בתוך התוסף אשר תפס בריח ביטויי seed ואת המפתחות הפרטיים. הקורבנות דיווחו על התרוקנות פתאומית של כספים ברחבי מספר שרשראות בלוקצ'יין, עם ניתוח ראשוני על-שרשרת שמראה הפסדים בסך כ-7 מיליון דולר.

וקטור ההתקפה ולוח הזמנים

  • 24 בדצמבר 2025: גרסה 2.68 שוחררה באמצעות Chrome Web Store.
  • 26 בדצמבר 2025, 00:15 UTC: החוקר הבלוקצ'יין ZachXBT מעיר את הקהילה לאחר מעקב אחר תנועות מהירות של כספים מארנקים שונים.
  • 26 בדצמבר 2025, 02:00 UTC: PeckShield מאשר שאיבת מעל 6 מיליון דולר, כאשר כ-40% מהנכסים שנגנבו הונאו/הלבינו באמצעות חילופי מרכזיים.
  • 26 בדצמבר 2025, 04:30 UTC: Trust Wallet מפרסמת אזהרה להשבית את הגרסה 2.68 ולעדכון לגרסה המתוקנת 2.69.
  • 26 בדצמבר 2025, 07:42 UTC: Trust Wallet מאשרת הפסדים כוללים בסך כ-7 מיליון דולר והבטחת פיצוי מלא למשתמשים.

ניתוח טכני

התקפים הטמיעו פרצת אחורית בשרשרת האספקה על ידי החדרת אינסטרומנטציה של PostHog JS לקוד הליבה של התוסף. זה אפשר דליפה בזמן אמת של ביטויי seed מפוענחים וחומר המפתחות הפרטיים ליעד זדוני. ניתוח על-שרשרת מראה כי הכספים שנגנבו חולקו בין ביטקוין, אתריום, Solana ועוד מטבעות תואמי EVM, כאשר ההכנסות הצטברו לכמות קטנה של כתובות משיכה לפני הפצלה לחילופי קריפטו להמרה לפיאט.

הפחתה ותגובה

Trust Wallet שיחררה גרסה 2.69, שאפשרה הסרת הקוד המזיק ושינויים בחתימות הקריטיות המשמשות בעדכוני התוסף. המשתמשים שנפגעו הוזהרו לבטל הרשאות התוסף, להעביר את יתר הנכסים לכיסים חדשים ולהפעיל אימות דו-שלבי כשקיים. המייסד צ'אנגפנג ז'או (CZ) הבטיח פיצוי במסגרת קרן SAFU. חברות אבטחה עצמאיות מבצעות בדיקות קוד ומנטרות אחר חוסרים פוטנציאליים.

השלכות רחבות יותר

אירוע זה מדגיש את הסיכון הגובר הקשור להרחבות הארנק בדפדפן. שלא כמו הארנקים חומרתיים או לקוחות שולחן נפרדים, הרחבות דפדפן פועלות בהקשר האבטחה של הדפדפן, מה שמגדיל את שטח ההתקפה שלהן. מומחים ממליצים על שימוש בארנקים חומרתיים או בפתרונות abstraction של חשבון שמכילים דיחוי בעסקה ודורשים אישור משתמש מפורש לשינויים ברמת הקוד.

מסקנות עיקריות

  1. הפגיעה בשרשרת האספקה יכולה להחדיר קוד זדוני ישירות לעדכוני תוכנה לגיטימיים.
  2. אזהרה מהירה והוצאת תיקונים, יחד עם הבטחות פיצוי ציבוריות, הן קריטיות לניהול הנזק.
  3. הסביבות של הרחבות הדפדפן עדיין פגיעות; המשתמשים צריכים לשקול שימוש בארנקים חומרתיים או אלטרנטיבות מרובות-חתימות עבור נכסים גדולים.

תגובות (0)

הפכו לחבר VIP

הצטרפו לניוזלטר שלנו

הירשם כדי לקבל את העדכונים האחרונים, טיפים בחינם והצעות בלעדיות!

ג'ייסון זה עתה הפך לחבר VIP!
להיות חבר

הצעה מוגבלת

ספגו 20% הנחה על מנוי VIP!
00:00:00

לקבל הנחה

קבל איתות היום

אותת BTC/ETH אחד עדכני מהערוץ שלנו — חינם.
בדקו איך זה עובד לפני שתעברו למעמד VIP.

לעבור לערוץ הטלגרם בלי ספאם — רק רעיונות למסחר.