کمیته رکن چهارم– شرکت Trust Wallet اعلام کرد که نسخه ۲.۶۸ افزونه مرورگر کروم این کیفپول حاوی کدی مخرب بوده که منجر به سرقت حدود ۷ میلیون دلار رمزارز از کاربران شده است. این شرکت از کاربران خواسته افزونه خود را فوراً به نسخه ۲.۶۹ بهروزرسانی کنند و در صورت استفاده از نسخه آسیبپذیر، کیفپول جدیدی با عبارت بازیابی تازه ایجاد کنند.
به گزارش کمیته رکن چهارم، شرکت امنیتی SlowMist اعلام کرده که در نسخه ۲.۶۸ افزونه، کدی اضافه شده بود که عبارت بازیابی کاربران را استخراج و به سروری به نشانی api.metrics-trustwallet[.]com ارسال میکرد. این حمله از ۸ دسامبر ۲۰۲۵ آغاز شده و تا ۲۱ دسامبر ادامه داشته است. برخلاف حملات رایج، در این مورد، کد اصلی افزونه دستکاری شده و از کتابخانه posthog-js برای خارجسازی اطلاعات استفاده شده است.
در این حمله، حدود ۳ میلیون دلار بیتکوین، بیش از ۳ میلیون دلار اتریوم و شبکههای EVM و مقداری سولانا به سرقت رفته است. بخشی از رمزارزهای سرقتشده به صرافیهای ChangeNOW، FixedFloat و KuCoin منتقل شده و ۲.۸ میلیون دلار همچنان در کیفپول مهاجم باقی مانده است.
شرکت SlowMist احتمال داده مهاجم دسترسی مستقیم به کد داخلی یا مجوز انتشار افزونه را داشته است. چانگپنگ ژائو، بنیانگذار Binance، نیز احتمال حمله داخلی را مطرح کرده، هرچند سندی رسمی ارائه نشده است.
کاربران Trust Wallet باید افزونه را بروزرسانی، عبارت بازیابی خود را تغییر دهند و فقط از منابع رسمی استفاده کنند. Trust Wallet نیز وعده بازپرداخت کامل داراییهای سرقتشده را داده است.
