اكتشاف برنامج خفي يجمع المفاتيح الخاصة بينما تصدر Trust Wallet تحذيراً طارئاً لمستخدمي Chrome

أوصت Trust Wallet المستخدمين بتعطيل إصدار 2.68 من إضافة متصفح Chrome بعد أن أقرت الشركة بحدوث حادثة أمنية، ودفعها للإصدار 2.69 في 25 ديسمبر، وذلك عقب تقارير عن سرقة محافظ مرتبطة بتحديث 24 ديسمبر.

وفقًا للضحايا والباحثين، بدأت عمليات السرقة في الظهور فور طرح الإصدار 2.68. وقدرت الحصيلة العامة الأولية للخسائر بين 6 ملايين و7 ملايين دولار أو أكثر عبر عدة سلاسل.

تُظهر قائمة متجر Chrome Web أن إصدار إضافة Trust Wallet رقم 2.69 تم "تحديثه: 25 ديسمبر 2025"، مما يثبت توقيت التصحيح الذي أطلقه البائع في اليوم الذي انتشر فيه الحادث على نطاق أوسع.

تعرض نفس القائمة ما يقرب من 1,000,000 مستخدم. وهذا يحدد الحد الأعلى الأسوأ لنطاق التأثر.

يعتمد التعرض العملي على عدد الأشخاص الذين قاموا بتثبيت 2.68 وأدخلوا بيانات حساسة أثناء نشاطه.

ركزت إرشادات Trust Wallet على إصدار إضافة المتصفح. وذكرت المنصة أن مستخدمي الهواتف المحمولة والإصدارات الأخرى من الإضافة لم يتأثروا.

ركزت التقارير حتى الآن على إجراء مستخدم معين خلال فترة 2.68.

الباحثون يحذرون من ارتفاع المخاطر المرتبطة بتحديث إضافة متصفح Trust Wallet

ربط الباحثون ومتتبعو الحوادث أعلى مخاطر بالمستخدمين الذين استوردوا أو أدخلوا عبارة استرداد بعد تثبيت الإصدار المتأثر. إذ يمكن لعبارة الاسترداد فتح العناوين الحالية والمستقبلية المشتقة منها.

ذكرت المنصة أيضًا أن الباحثين الذين راجعوا حزمة 2.68 رصدوا منطقًا مشبوهًا في ملف JavaScript، بما في ذلك إشارات إلى ملف يحمل اسم “4482.js”.

قالوا إن هذا المنطق يمكن أن ينقل أسرار المحفظة إلى مضيف خارجي. كما حذر الباحثون من أن المؤشرات التقنية لا تزال قيد التجميع مع نشر المحققين لنتائجهم.

حذرت نفس التغطية من عمليات احتيال ثانوية، بما في ذلك نطاقات "إصلاح" مقلدة. حيث تحاول هذه الإغراءات خداع المستخدمين لتسليم عبارات الاسترداد بدعوى المعالجة.

بالنسبة للمستخدمين، هناك فرق جوهري بين التحديث والمعالجة.

يمكن للتحديث إلى 2.69 إزالة السلوكيات المشبوهة أو غير الآمنة من الإضافة في المستقبل. لكنه لا يحمي الأصول تلقائيًا إذا كانت عبارة الاسترداد أو المفتاح الخاص قد تم الكشف عنه بالفعل.

في هذه الحالة، تشمل خطوات الاستجابة القياسية للحوادث نقل الأموال إلى عناوين جديدة تم إنشاؤها من عبارة استرداد جديدة. كما يجب على المستخدمين التحقق من الموافقات على الرموز وإلغائها حيثما أمكن.

ينبغي على المستخدمين اعتبار أي نظام تعامل مع العبارة مشبوهًا حتى يتم إعادة بنائه أو التحقق من نظافته.

يمكن أن تكون هذه الإجراءات مكلفة من الناحية التشغيلية للمستخدمين الأفراد، إذ تتطلب إعادة تأسيس المراكز عبر السلاسل والتطبيقات.

وفي بعض الحالات، تجبر هذه الإجراءات أيضًا على المفاضلة بين السرعة والدقة عندما تكون تكاليف الغاز ومخاطر الجسور جزءًا من مسار الاسترداد.

تسلط هذه الحادثة الضوء أيضًا على نموذج الثقة في إضافات المتصفح.

الإضافات تقع عند نقطة حساسة بين تطبيقات الويب وتدفقات التوقيع

أي اختراق يمكن أن يستهدف نفس المدخلات التي يعتمد عليها المستخدمون للتحقق من المعاملات.

تناولت أبحاث أكاديمية حول اكتشاف إضافات متجر Chrome Web كيف يمكن للإضافات الضارة أو المخترقة التهرب من المراجعة الآلية. كما وصفت كيف يمكن أن تتدهور قدرة الاكتشاف مع تغير تكتيكات المهاجمين بمرور الوقت.

ووفقًا لورقة arXiv حول اكتشاف الإضافات الضارة باستخدام التعلم الآلي الخاضع للإشراف، فإن "انحراف المفهوم" والسلوكيات المتطورة يمكن أن تضعف فعالية الأساليب الثابتة. ويصبح هذا الأمر ملموسًا أكثر عندما يُشتبه في أن تحديث إضافة المحفظة يقوم بجمع الأسرار من خلال منطق مشفر على جانب العميل.

ستحدد الإفصاحات التالية من Trust Wallet حدود كيفية استقرار القصة.

سيساعد تشريح تقني من البائع يوضح السبب الجذري، وينشر المؤشرات المؤكدة (نطاقات، هاشات، معرفات الحزم)، ويوضح النطاق، مزودي المحافظ والبورصات وفرق الأمان على تطوير فحوصات مستهدفة وتعليمات للمستخدمين.

في غياب ذلك، تظل أرقام الحوادث غير مستقرة عادةً. يمكن أن تصل تقارير الضحايا متأخرة، ويمكن تحسين تجميع العناوين على السلسلة، ولا يزال المحققون يحددون ما إذا كانت برامج التصريف المنفصلة تشترك في البنية التحتية أو أنها مجرد نسخ انتهازية.

عكست أسواق الرموز الخبر مع بعض التحركات، ولكن دون إعادة تسعير في اتجاه واحد.

أظهرت أحدث الأرقام المقتبسة لـ Trust Wallet Token (TWT) أن السعر الأخير بلغ $0.83487، بزيادة $0.01 (0.02%) عن الإغلاق السابق. وأظهرت الأرقام أعلى سعر خلال اليوم عند $0.8483 وأدنى هبوط خلال اليوم عند $0.767355.

لا يزال حساب الخسائر في حالة تغير. وأفضل تقدير مرجعي حالي هو نطاق 6 إلى 7 ملايين دولار أو أكثر الذي تم الإبلاغ عنه خلال أول 48 إلى 72 ساعة بعد تداول 2.68.

لا يزال هذا النطاق قابلًا للتغير لأسباب روتينية في تحقيقات السرقات

تشمل هذه الأسباب تأخر تقارير الضحايا، وإعادة تصنيف العناوين، وتحسين الرؤية في عمليات المقايضة عبر السلاسل ومسارات السحب النقدي.

يمكن تأطير نطاق عملي مستقبلي خلال الأسبوعين إلى الثمانية القادمين كسيناريوهات مرتبطة بمتغيرات تذبذب قابلة للقياس. وتشمل هذه ما إذا كان مسار الاختراق اقتصر على إدخال العبارة في 2.68، وما إذا تم تأكيد مسارات استيلاء إضافية، ومدى سرعة إزالة إغراءات "الإصلاح" المقلدة.

تأتي هذه الحادثة في ظل تدقيق أوسع حول كيفية تعامل برمجيات العملات الرقمية الموجهة للأفراد مع الأسرار على الأجهزة العامة.

كانت تقارير السرقات في 2025 كافية لجذب انتباه السياسات والمنصات.

تعزز الحوادث المرتبطة بتوزيع البرمجيات أيضًا الدعوات لفرض ضوابط نزاهة البناء، بما في ذلك البنى القابلة لإعادة الإنتاج، وتوقيع المفاتيح المقسمة، وخيارات التراجع الأكثر وضوحًا عند الحاجة إلى تصحيح عاجل.

بالنسبة لإضافات المحافظ، فإن النتيجة العملية على المدى القريب أبسط. يجب على المستخدمين أن يقرروا ما إذا كانوا قد أدخلوا عبارة استرداد أثناء تثبيت 2.68، لأن هذا الإجراء الوحيد يحدد ما إذا كان التحديث كافيًا أو أنهم بحاجة لتدوير الأسرار ونقل الأموال.

تبقى إرشادات Trust Wallet هي تعطيل إضافة 2.68 والترقية إلى 2.69 من متجر Chrome Web.

يجب على المستخدمين الذين استوردوا أو أدخلوا عبارة استرداد أثناء تشغيل 2.68 أن يعاملوا تلك العبارة كأنها مخترقة وينقلوا الأصول إلى محفظة جديدة.

أكدت Trust Wallet الآن أن حوالي 7 ملايين دولار قد تأثرت في حادثة إضافة Chrome للإصدار v2.68 وأنها ستعوض جميع المستخدمين المتضررين.

في بيان نُشر على X، قالت الشركة إنها بصدد إنهاء عملية التعويض وستشارك التعليمات حول الخطوات التالية "قريبًا". كما حثت Trust Wallet المستخدمين على عدم التفاعل مع الرسائل التي لا تأتي من قنواتها الرسمية، وحذرت من أن المحتالين قد يحاولون انتحال صفة الفريق أثناء عملية المعالجة.

نُشر المقال: تم اكتشاف نص خفي يجمع المفاتيح الخاصة مع إصدار Trust Wallet تحذيرًا عاجلًا لمستخدمي Chrome، لأول مرة على CryptoSlate.