تراست ولت، کیف پول پرکاربر ارزهای دیجیتال، اعلام کرد یک ضعف امنیتی در آدرس کیف پولهای ایجاد شده از طریق افزونه مرورگر در بازه زمانی ۱۴ تا ۲۳ نوامبر سال گذشته (۲۳ آبان تا ۲ آذر ۱۴۰۱)، منجر به سوء استفاده و از دست رفتن حدود ۱۷۰٬۰۰۰ دلار از دارایی کاربران شده است.
به نقل از کوین تلگراف، تراست ولت از طریق برنامه باگ بانتی خود متوجه این مشکل شده است. یکی از محققان امنیتی شرکتکننده در ایت برنامه، یک آسیبپذیری WebAssembly را در کتابخانه منبع باز کیف پول در نوامبر ۲۰۲۲ (آبان ۱۴۰۱) گزارش کرد. تراست والت اعلام کرد تنها آدرسهای جدید تولید شده از طریق اکستنشن مرورگر در بازه زمانی ۱۴ تا ۲۳ نوامبر ۲۰۲۲ (۲۳ آبان تا ۲ آذر ۱۴۰۱) مبتلا به این نقص امنیتی هستند و سایر کیف پولها در امنیت کامل هستند و برای صاحبان آنها جای نگرانی نیست.
تراست والت اعلام کرد از زمان کشف این نقص امنیتی به تک تک کیف پولهایی که در معرض خطر بودند نوتیفیتکیشن ارسال کرده است تا دارایی خود را به یک کیف پول امن منتقل کنند. با این حال علیرغم تلاشهای تراست والت دو مورد سوء استفاده از این نقص امنیتی شناسایی شده است که به از دست رفتن ۱۷۰٬۰۰۰ دلار از دارایی کاربران منجر شده است. تراست والت در بیانیه ۲۲ آپریل تاکید کرد ضرری که متوجه آسیب دیدگان شده است را جبران خواهد کرد و برای جبران این ضرر پروسهای طراحی کرده است.
در حال حاضر همچنان ۵۰۰ آدرس در معرض خطر باقی ماندهاند که جمعا ۸۸٬۰۰۰ دلار کریپتو موجودی دارند. کاربرانی که در اواخر دسامبر ۲۰۲۲ و همچنین اواخر مارچ ۲۰۲۳ (آذر و اسفند ۱۴۰۱) جابجاییهای مشکوک در کیف پول خود مشاهده کردند ممکن است در میان کاربران آسیب دیده باشند.
در بیانیه تراست والت برای پاسخ دادن به نگرانیهای کاربران تراست والت به سوالات اصلی کاربران پاسخ داده شده است که این سوال و جوابها در ادامه ارائه میشوند:
چه کسانی تحت تاثیر قرار نگرفتهاند؟
کاربران کیفپولهای تراست ولت در سناریوهای زیر تحتتاثیر این آسیبپذیری قرار نگرفتهاند:
- اگر فقط از اپلیکیشن موبایلی تراست ولت استفاده میکنید.
- اگر از افزونه مرورگر (اکستنشن) تراست ولت تنها از طریق import کردن عبارت بازیابی استفاده کردهاید و کیف پول جدیدی از طریق اکستنشن ایجاد نکردهاید.
- اگر از اکستنشن تراست ولت برای ایجاد کیف پول جدید قبل از ۱۴ نوامبر ۲۰۲۲ (۲۳ آبان ۱۴۰۱) یا بعد از ۲۳ نوامبر ۲۰۲۲ (۲ آذر ۱۴۰۱) استفاده کردهاید.
چه کسانی تحت تاثیر قرار گرفتهاند؟
همانطور که ذکر شد تنها کسانی که از اکستنشن تراست ولت برای ایجاد کیف پول جدید بین ۱۴ تا ۲۳ نوامبر ۲۰۲۲ (۲۳ آبان تا ۲ آذر ۱۴۰۱) استفاده کردهاند، در معرض این خطر هستند.
اگر کیف پول شما در معرض خطر باشد، پس از باز کردن اکستنشن تراست ولت یک اعلان (نوتیفیکیشن) مربوط به این موضوع خواهید دید. لطفا اکستنشن تراست ولت خود را باز کنید و ببینید آیا چنین هشداری دریافت کردهاید یا خیر.
کاربران کیف پول اکستنشنی تراست باید چکار کنند؟
- اگر از اکستنشن تراست ولت استفاده میکنید و پس از باز کردن کیف پول خود هشدار امنیتی ذکر شده را مشاهده نمیکنید، استفاده از آدرسهای کیف پول شما امن است و این آسیبپذیری روی شما تاثیری نگذاشته است.
- در صورتی که این هشدار امنیتی را مشاهده کردید، باید یک آدرس کیف پول جدید ایجاد کنید و فورا داراییهای خود را به کیف پول جدید منتقل کنید و استفاده از آدرسهای آسیب دیده را متوقف کنید. برای انتقال داراییها به کیف پول جدید میتوانید از این مطلب آموزشی تهیه شده توسط تراست ولت استفاده کنید.
کاربرانی که در اواخر دسامبر ۲۰۲۲ (آذر ۱۴۰۱) و اواخر مارچ ۲۰۲۳ (اسفند ۱۴۰۱) در موجودی کیف پول خود تغییرات غیرعادی مشاهده کردند، ممکن است یکی از معدود قربانیان یکی از این دو سوء استفاده باشند. این افراد باید فرآیند بازپرداخت برای کیف پولهای آسیب دیده از ضعف امنیتی موقت کیف پول اکستنشن را به دقت بخوانند و برای مراحل بعدی اقدام کنند. تراست ولت لیست دقیقی از تمام کیف پولهای آسیب دیده دارد و پس از تایید مالکیت آدرسهای آسیبدیده، دارایی از دست رفته را به هر قربانی بازپرداخت خواهد کرد.
برنامهنویسانی که از کتابخانه تراست استفاده کردهاند باید چکار کنند؟
تراست ولت خطاب به برنامهنویسانی که در سال ۲۰۲۲ از کتابخانه Core تراست ولت برای ساخت کیفپولهای اکستنشنی استفاده کردهاند، گفت:
اطمینان حاصل کنید که آخرین نسخه Wallet Core را پیادهسازی کردهاید تا از تاثیرپذیری اکستنشن خود از این آسیبپذیری که ممکن است منجر به ضرر برای کاربران شما شود جلوگیری کنید. تراست ولت پس از کشف این آسیبپذیری، به سرعت به توسعهدهندگانی که از Wallet Core برای کیف پولهای اکستنشنی خود استفاده کردهاند، اطلاع داده است.
شایان ذکر است امروز در حدود ۴۵ دقیقه اکانت توییتری صرافی کوکوین هک شد و در جریان فعالیتهای هکرها در این مدت حدود ۲۲,۰۰۰ دلار به سرقت رفت. کاربران عزیز توجه داشته باشند در برخورد با صفحات و لینکهای مشکوک حتی اگر متعلق به صفحه رسمی آن پلتفرم هم باشند، احتیاط لازم را به خرج دهند و در مورد اصالت آن تحقیق کنند.
