اختراق رمز محفظة الثقة: $6M سرقة العملات الرقمية من خلال امتداد خبيث

هجوم متطور يستهدف مستخدمي Trust Wallet أسفر عن سرقة أكثر من $6 مليون في الأصول الرقمية، وكشف عن واحدة من أخطر الثغرات الأمنية في مجال محافظ العملات الرقمية. تضمن الهجوم تضمين رمز هاكر مباشرة في شفرة مصدر ملحق المتصفح، وهو تطور تصنفه الباحثون الأمنيون على أنه عملية تهديد مستمر متقدم (APT).

كيف استغل رمز الهاكر مستخدمي Trust Wallet

في 8 ديسمبر 2025، قام المهاجمون بتسجيل النطاق الخبيث metrics-trustwallet.com. بعد أسبوعين، في 21-22 ديسمبر، اكتشف الباحثون الأمنيون أول محاولات تسريب بيانات. عمل رمز الهاكر من خلال آلية بسيطة ولكن فعالة: عندما يفتح المستخدمون ملحق Trust Wallet للمتصفح (الإصدار 2.68)، يقوم الرمز الخبيث باعتراض عبارات البذرة المشفرة الخاصة بهم.

لم تُدخل الثغرة عبر مكتبة طرف ثالث مخترقة أو اعتماد خارجي، بل قام المهاجمون بحقن رمز خبيث مباشرة في قاعدة شفرة Trust Wallet الداخلية. هذا التمييز مهم: يشير إلى أن الجهات المهددة حصلت على وصول إلى بنية تطوير Trust Wallet أو أنظمة النشر قبل أسابيع من ظهور الهجوم علنًا.

اعتمدت طريقة الهجوم على سرقة عبارات الميمنونيك المشفرة للمستخدمين من خلال استغلال كلمات المرور أو مفاتيح المرور التي أدخلوها عند فتح محافظهم. ثم يقوم رمز الهاكر بفك تشفير هذه العبارات وإرسالها إلى خادم القيادة والسيطرة الخاص بالمهاجم (api.metrics-trustwallet[.]com)، مما يمنح المهاجمين السيطرة الكاملة على المحافظ المخترقة.

داخل الهجوم: تحليل تقني لرمز الهاكر الخبيث

أجرى باحثو الأمن من SlowMist تحليلًا تفصيليًا بمقارنة الإصدار 2.67 والإصدار 2.68 من ملحق Trust Wallet. كشفت النتائج كيف يعمل رمز الهاكر على مستوى التطبيق.

حمل الرمز الخبيث جميع المحافظ المخزنة في الملحق وأصدر طلبات لاستخراج عبارة الميمنونيك المشفرة للمستخدم. بمجرد الحصول عليها، قام بفك تشفيرها باستخدام بيانات الاعتماد التي أدخلها المستخدم عند فتح المحفظة. إذا نجح في فك التشفير — وهو ما يحدث مع جميع المستخدمين الشرعيين — يتم إرسال عبارة الميمنونيك المكشوفة تلقائيًا إلى خادم المهاجم.

تشير درجة تعقيد رمز الهاكر هذا إلى تطوير من مستوى محترف. استخدم المهاجمون مكتبة تحليلات PostHogJS الشرعية كغطاء، وقاموا بتحويل بيانات التحليلات الشرعية إلى بنيتهم التحتية الخبيثة. سمحت هذه التقنية لرمز الهاكر بالاندماج مع عمليات المحفظة العادية، مما يصعب اكتشافه على الفور.

كشفت التحليلات الديناميكية للهجوم أنه بمجرد فك التشفير، كانت بيانات عبارة الميمنونيك مضمنة في حقل رسالة الخطأ لطلبات الشبكة — تقنية إخفاء ذكية سمحت بمرور بيانات الاعتماد المسروقة عبر حركة الشبكة دون إثارة إنذارات فورية. أكد تحليل حركة BurpSuite أن عبارات الاسترداد المسروقة كانت دائمًا مغلفة في حقل errorMessage قبل إرسالها إلى خادم المهاجم.

تتبع الأصول المسروقة والبنية التحتية للمهاجم

وفقًا للبيانات التي كشف عنها الباحث الأمني zachxbt، أسفر السطو عن خسائر كبيرة عبر عدة سلاسل كتل:

• سلسلة كتل البيتكوين: حوالي 33 بيتكوين مسروق، بقيمة تقريبية تبلغ ( مليون دولار ) بسعر 89.57 ألف دولار لكل بيتكوين حتى يناير 2026
• إيثيريوم وشبكات الطبقة 2: حوالي $3 مليون في الخسائر المجمعة
• سلسلة كتل سولانا: حوالي $431 مسروق
• شبكات أخرى: خسائر إضافية من أنظمة سلاسل كتل مختلفة

أظهر تحليل ما بعد السرقة أن المهاجمين بدأوا فورًا في نقل وتبادل الأصول المسروقة عبر جسور لامركزية وعدة بورصات مركزية، في محاولة على الأرجح لإخفاء مصدر الأموال وتعقيد جهود الاسترداد.

تم تسجيل النطاق الخبيث نفسه في 8 ديسمبر 2025، الساعة 02:28:18 بالتوقيت العالمي، عبر مسجل النطاق NICENIC INTERNATIONA. يشير التوقيت بين تسجيل النطاق وأول محاولات تسريب البيانات الملحوظة بقوة إلى أن العملية كانت منسقة بعناية — لم يتم نشر رمز الهاكر بشكل عشوائي، بل كان جزءًا من حملة مخططة بشكل جيد.

الإجراءات الفورية: حماية محفظتك من هجمات تعتمد على رمز مماثلة

أكد فريق تطوير Trust Wallet وجود الثغرة في الإصدار 2.68 وأصدروا نصيحة أمنية عاجلة. تضمن الرد الرسمي التوجيهات الحاسمة التالية:

إذا كنت تستخدم ملحق Trust Wallet للمتصفح:

1. افصل الاتصال بالإنترنت فورًا — يجب أن تكون هذه خطوتك الأولى قبل اتخاذ أي إجراء تصحيحي. البقاء متصلاً أثناء احتمال تعرض محفظتك للخطر يزيد من خطر فقدان الأصول بالكامل.

2. قم بتصدير مفاتيحك الخاصة أو عبارات الميمنونيك وأنت غير متصل، ثم قم بإلغاء تثبيت ملحق Trust Wallet على الفور. لا تعيد تفعيل الإصدار 2.68 تحت أي ظرف من الظروف.

3. قم بالترقية إلى الإصدار 2.69 فقط بعد نقل أموالك إلى محفظة جديدة وآمنة (إما تطبيق محفظة مختلف، أو محفظة أجهزة، أو حساب جديد مع عبارة استرداد جديدة مولدة حديثًا).

4. نقل جميع الأموال إلى عنوان محفظة جديد بأسرع ما يمكن بشكل آمن. أي عملة مشفرة لا تزال في المحافظ التي تم الوصول إليها سابقًا عبر الإصدار 2.68 يجب اعتبارها في خطر.

ثغرة رمز الهاكر تؤثر على جميع المستخدمين الذين ثبتوا الإصدار 2.68، بغض النظر عما إذا كانوا يستخدمون الملحق بنشاط — حيث يتم تنفيذ الحمولة الخبيثة تلقائيًا عند فتح المحفظة.

لماذا يُصنف هذا كتهديد رمز هاكر من مستوى APT

يصنف المحللون الأمنيون هذا الهجوم على أنه تهديد متقدم مستمر (APT) لعدة أسباب مقنعة. أولاً، النطاق والتنسيق يشيران إلى جهات تهديد محترفة، وليس هاكرز انتهازيين. ثانيًا، وصول المهاجم الواضح إلى أنظمة تطوير أو نشر Trust Wallet يشير إلى اختراق مستهدف للبنية التحتية، وليس مجرد تطبيق محفظة ظاهر أمام الجمهور.

دقة رمز الهاكر — قدرته على استهداف آليات فتح المحفظة المحددة، وفك تشفير العبارات المؤمنة، وتسريب البيانات عبر طلبات تحليلات تبدو شرعية — تظهر قدرات تقنية متقدمة. الفجوة التي استمرت شهرًا بين تسجيل النطاق واكتشاف الهجوم تشير إلى تخطيط دقيق واستطلاع مسبق.

تعد هذه الحادثة تذكيرًا صارخًا بأنه حتى المشاريع ذات الموارد الكبيرة والمثبتة يمكن أن تقع ضحية لهجمات سلسلة التوريد المتطورة. تم وضع رمز الهاكر ليس كتهديد خارجي فحسب، بل كجزء من التطبيق الشرعي ذاته، مما يصعب اكتشافه على المستخدمين النهائيين حتى يتمكن الباحثون الأمنيون من تحديد الشذوذ.

تذكير حاسم: يجب على المستخدمين افتراض أن أي عملة مشفرة مخزنة في محافظ كانت متصلة سابقًا بـ Trust Wallet الإصدار 2.68 الآن في خطر، وأن الانتقال الفوري إلى بدائل آمنة ضروري.