هک گسترده تراست والت؛ سرقت ۷ میلیون دلار از کاربران کیف پول دیجیتال

آسیانیوز ایران؛ سرویس رمز ارز:

فضای ارزهای دیجیتال امروز با یک خبر نگران‌کننده لرزید. کیف پول دیجیتال «تراست والت» که میلیون‌ها کاربر در سراسر جهان دارد، هدف یک حمله سایبری پیچیده قرار گرفته است. چانگ‌پنگ ژائو، مدیرعامل سابق صرافی بزرگ بایننس، با انتشار پستی در شبکه اجتماعی ایکس، به طور رسمی این حمله را تأیید کرد. او جزئیات نگران‌کننده‌ای را از نحوه هک و میزان خسارت فاش کرده است. بر اساس گزارش‌ها، مهاجمان سایبری با انتشار یک نسخه آلوده و جعلی از افزونه مرورگر کروم کیف پول تراست والت، توانستند به عبارتهای بازیابی (Seed Phrases) کاربران دسترسی پیدا کنند. این عبارت‌ها در واقع کلیدهای اصلی دسترسی به دارایی‌های دیجیتال هستند. با به دست آوردن این کلیدهای حیاتی، مهاجمان توانستند کنترل کیف پول قربانیان را در دست گرفته و دارایی‌های دیجیتال آن‌ها را به سرقت ببرند. تاکنون حجم سرقت بیش از ۷ میلیون دلار برآورد شده است که این رقم ممکن است با بررسی‌های بیشتر افزایش یابد.

نکته مهم این است که این حمله تنها نسخه افزونه مرورگر کروم تراست والت را هدف قرار داده است. کاربرانی که از نسخه موبایل این کیف پول استفاده می‌کنند، در امان مانده‌اند و دارایی‌های آن‌ها تحت تأثیر این حمله قرار نگرفته است. چانگ‌پنگ ژائو در بیانیه خود اعلام کرده است که تیم تراست والت روند جبران خسارت کاربران آسیب دیده را آغاز کرده است. این اقدام می‌تواند تا حدی از نگرانی کاربران بکاهد، اما همچنان سوالات زیادی درباره امنیت کیف پول‌های دیجیتال مطرح است. این حمله بار دیگر اهمیت امنیت در فضای ارزهای دیجیتال را برجسته کرده است. کاربران باید نسبت به نصب افزونه‌ها و برنامه‌های غیررسمی هوشیار باشند و از روش‌های امنیتی دو مرحله‌ای استفاده کنند. حادثه امروز تراست والت، بزرگ‌ترین حمله سایبری به یک کیف پول دیجیتال در ماه‌های اخیر است و می‌تواند تأثیر قابل توجهی بر اعتماد کاربران به کیف پول‌های نرم‌افزاری داشته باشد. پاسخ سریع تیم تراست والت و تعهد آن به جبران خسارت، می‌تواند زمینه بازگشت اعتماد را فراهم کند.

مکانیزم حمله و آسیب‌پذیری امنیتی

این حمله یک نمونه کلاسیک از حمله توزیع نرم‌افزار مخرب (Malware Distribution) است. مهاجمان با انتشار یک نسخه جعلی و آلوده از افزونه کروم تراست والت، کاربران را فریب داده‌اند تا به جای نسخه اصلی، این افزونه مخرب را نصب کنند. نحوه عملکرد این نسخه آلوده احتمالاً مبتنی بر کیلاگر (Keylogger) یا اسکنر حافظه بوده که عبارت‌های بازیابی ۱۲ یا ۲۴ کلمه‌ای کاربران را هنگام وارد کردن رهگیری و برای مهاجمان ارسال می‌کرده است. این عبارت‌ها در واقع کلیدهای خصوصی کاربران هستند که در کیف پول‌های غیرمتصل (non-custodial) تنها در اختیار خود کاربر قرار دارد. این حمله نشان می‌دهد که چگونه یک نقطه آسیب‌پذیر در زنجیره توزیع نرم‌افزار (فروشگاه افزونه کروم) می‌تواند امنیت کل سیستم را به خطر بیندازد. همچنین بر اهمیت تأیید اصالت نرم‌افزار قبل از نصب و به روزرسانی تأکید دارد.

تأثیر بر کاربران و صنعت ارزهای دیجیتال

سرقت ۷ میلیون دلاری (و احتمالاً بیشتر) تأثیر مستقیم و ملموسی بر صدها یا هزاران کاربر دارد. این کاربران نه تنها دارایی مالی خود را از دست داده‌اند، بلکه اعتمادشان به کیف پول‌های نرم‌افزاری و فضای ارزهای دیجیتال به طور کلی آسیب دیده است. برای صنعت ارزهای دیجیتال، این حمله یک شکست امنیتی قابل توجه برای یکی از کیف پول‌های شناخته شده و مورد اعتماد است. تراست والت با داشتن ده‌ها میلیون کاربر، از محبوب‌ترین کیف پول‌های غیرمتصل در جهان است و چنین حادثه‌ای می‌تواند استفاده از کیف پول‌های سخت‌افزاری (که امنیت بالاتری دارند) را توجیه‌پذیرتر کند. همچنین، این اتفاق ممکن است نظارت مقامات بر کیف پول‌های غیرمتصل را افزایش دهد. تاکنون تمرکز مقامات بیشتر بر صرافی‌ها (واسطه‌های متصل) بوده است، اما چنین حملاتی می‌تواند توجیهی برای مداخله بیشتر در حوزه کیف پول‌ها نیز فراهم کند.

پاسخ تراست والت و مسئله جبران خسارت

پاسخ سریع چانگ‌پنگ ژائو و تیم تراست والت از چند جهت قابل توجه است: اول، شفافیت در اطلاع‌رسانی سریع درباره حمله. دوم، محدودسازی آسیب با تأکید بر اینکه تنها نسخه افزونه کروم هدف قرار گرفته است. سوم و مهم‌تر، تعهد به جبران خسارت. جبران خسارت در کیف پول‌های غیرمتصل یک اقدام بی‌سابقه و بحث‌برانگیز است. در فلسفه کیف پول‌های غیرمتصل، مسئولیت امنیت کلیدهای خصوصی کاملاً بر عهده کاربر است. جبران خسارت توسط توسعه‌دهنده، می‌تواند این اصل را زیر سؤال ببرد و انتظارات جدیدی از سایر کیف پول‌ها ایجاد کند. سوال اینجاست که منبع این جبران خسارت چیست؟ آیا از ذخایر شرکت استفاده می‌شود؟ آیا بیمه سایبری پوشش چنین خسارتی را می‌دهد؟ پاسخ به این سوالات می‌تواند الگویی برای واکنش به حوادث مشابه در آینده شود.

درس‌های امنیتی برای کاربران

این حمله چند درس حیاتی برای تمام کاربران ارزهای دیجیتال دارد:

۱) نصب نرم‌افزار تنها از منابع رسمی و معتبر (وب‌سایت اصلی پروژه، فروشگاه رسمی برنامه‌ها).

۲) هرگز عبارت بازیابی را در هیچ نرم‌افزار یا وب‌سایتی وارد نکنید مگر در کیف پول سخت‌افزاری خود هنگام بازیابی.

۳) استفاده از کیف پول‌های سخت‌افزاری برای ذخیره مقادیر قابل توجه دارایی.

همچنین، تفکیک دارایی‌ها بین کیف پول‌های مختلف (یک کیف پول برای معاملات روزمره و دیگری برای پس‌انداز بلندمدت) و به‌روزرسانی منظم نرم‌افزارها از طریق کانال‌های رسمی، از دیگر راهکارهای کاهش خطر است. کاربران باید بدانند که در دنیای غیرمتمرکز، مسئولیت نهایی امنیت با خود آن‌هاست. حتی معتبرترین کیف پول‌ها نیز می‌توانند هدف حمله قرار گیرند.

آینده امنیت کیف پول‌های دیجیتال

این حمله می‌تواند نقطه عطفی در توسعه کیف پول‌های دیجیتال باشد. احتمالاً شاهد تمرکز بیشتر بر احراز هویت چندعاملی (Multi-Factor Authentication) پیشرفته، حتی برای کیف پول‌های غیرمتصل خواهیم بود. ممکن است روش‌های جدیدی مبتنی بر امضای چندگانه (Multi-Sig) یا تقسیم کلید (Sharding) برای عبارت بازیابی توسعه یابد. همچنین، نظارت و حسابرسی امنیتی مستمر کد منبع و فرآیندهای انتشار نرم‌افزار کیف پول‌ها توسط شرکت‌های ثالث معتبر، به یک استاندارد ضروری تبدیل خواهد شد. در بلندمدت، این حوادث ممکن است توسعه راهکارهای بازیابی بدون خطر (مثل Social Recovery یا بازیابی از طریق اعتماد) را شتاب بخشد تا کاربران در صورت عدم مدیریت ایمن کلیدهای خصوصی، راهی برای بازیابی دارایی‌های خود داشته باشند، بدون اینکه امنیت را به طور کامل به یک نهاد متمرکز واگذار کنند. حمله به تراست والت یادآوری می‌کند که در عصر دیجیتال، امنیت یک فرآیند است، نه یک محصول نهایی. نیاز به هوشیاری دائمی، آموزش کاربران و نوآوری مستمر در راهکارهای امنیتی را نمی‌توان نادیده گرفت.