بازگشت پول‌های دزدیده شده؛ راهنمای جامع دریافت خسارت هک ۷ میلیون دلاری تراست ولت

زنگ خطر و فرشته نجات: ماجرای هک ۷ میلیون دلاری تراست ولت

تصور کنید صبح بیدار می‌شوید و می‌بینید موجودی کیف‌پول‌تان صفر شده است؛ نه به خاطر اینکه روی لینک اشتباهی کلیک کرده‌اید، بلکه به خاطر اینکه خودِ نرم‌افزار کیف‌پول آلوده بوده است! این کابوسی بود که کاربران نسخه مرورگر تراست ولت (Trust Wallet) در تعطیلات کریسمس تجربه کردند. یک هکر با تزریق کد مخرب، ۷ میلیون دلار را جارو کرد.

اما خبر خوب این است که برخلاف اکثر هک‌های دیفای، این بار قرار نیست سرمایه‌گذاران قربانی شوند. تراست ولت با پشتوانه بایننس، فرایند بازپرداخت کامل خسارت را آغاز کرده است. در این مقاله، جزئیات فنی هک، نحوه ثبت درخواست خسارت و درس‌های امنیتی مهم برای آینده را بررسی می‌کنیم.

این حمله از نوع «فیشینگ» یا خطای کاربر نبود، بلکه یک حمله به زنجیره تأمین نرم‌افزار (Supply Chain Attack) بود. بیایید فنی‌تر نگاه کنیم:

• نقطه نفوذ: مهاجم توانست به یک کلید API فاش شده دسترسی پیدا کند. این کلید مثل کارت شناسایی توسعه‌دهندگان بود که اجازه می‌داد کدهای جدید را در نسخه مرورگر آپلود کنند.
• نسخه آلوده (۲.۶۸): هکر با استفاده از این دسترسی، کدهای مخرب را در آپدیت نسخه ۲.۶۸ (منتشر شده در ۲۴ دسامبر) جایگذاری کرد.
• مکانیسم سرقت: به محض اینکه کاربران افزونه کروم خود را آپدیت کردند، کد مخرب فعال شد و کلیدهای خصوصی یا دارایی‌ها (بیت‌کوین، اتریوم، سولانا و BNB) را به آدرس هکر منتقل کرد.

اقدام فوری: تیم توسعه‌دهنده به سرعت متوجه شد و نسخه اصلاح‌شده ۲.۶۹ را منتشر کرد که کد مخرب را حذف می‌کند. اگر از نسخه مرورگر استفاده می‌کنید، همین الان ورژن خود را چک کنید.

اگر شما هم جزو قربانیان این نسخه بودید، نگران نباشید. طبق وعده چانگ‌پنگ ژائو (CZ) و تیم تراست ولت، تمام خسارت‌های تایید شده پرداخت می‌شود. برای ثبت درخواست، مراحل زیر را با دقت انجام دهید:

قدم اول: جمع‌آوری مدارک

قبل از مراجعه به پورتال، این اطلاعات را آماده کنید:

• آدرس کیف پول شما: آدرسی که دارایی از آن کسر شده است.
• آدرس هکر: آدرسی که پول به آن واریز شده (در تاریخچه تراکنش‌ها مشخص است).
• هش تراکنش (TXID): شناسه منحصر‌به‌فرد تراکنش سرقت.
• اطلاعات مکانی: کشور محل سکونت.

قدم دوم: ثبت در پورتال رسمی

فقط و فقط از طریق وب‌سایت رسمی Trust Wallet به بخش پشتیبانی (Support Portal) بروید. یک فرم مخصوص برای “Incdient Reporting” یا “Hack Reimbursement” ایجاد شده است. اطلاعات بالا را وارد کنید.

قدم سوم: بررسی و واریز

تیم امنیتی به صورت دستی (Manual) هر پرونده را بررسی می‌کند تا مطمئن شود ادعا واقعی است و کاربر قصد فریب سیستم را ندارد. پس از تایید، مبلغ معادل دلاری دارایی سرقت شده به کیف پول شما بازگردانده می‌شود.

این حادثه یک درس بزرگ داشت: «کیف‌پول‌های مبتنی بر مرورگر (Browser Extensions) همیشه “کیف‌پول داغ” (Hot Wallet) محسوب می‌شوند و آسیب‌پذیرند.»

مرورگرها دائماً به اینترنت متصل هستند و افزونه‌ها می‌توانند تحت تاثیر بدافزارهای سیستم یا آپدیت‌های مخرب قرار بگیرند.

راهکار چیست؟

• سرمایه سنگین در کلد ولت: مبالغ بالا را در کیف‌پول‌های سخت‌افزاری (مثل لجر یا ترزور) یا کیف‌پول‌های موبایلی آفلاین نگه دارید.
• استفاده محدود از افزونه: از افزونه‌های مرورگر فقط برای مبالغ کم و تعامل با برنامه‌های غیرمتمرکز (DApps) استفاده کنید.
• تاخیر در آپدیت: گاهی بد نیست گزینه “آپدیت خودکار” افزونه‌ها را خاموش کنید و پس از اطمینان از امن بودن نسخه جدید (با چک کردن اخبار)، آن را آپدیت کنید.

تراست ولت در سال ۲۰۱۸ توسط بایننس خریداری شد. حضور بایننس در پشت این کیف‌پول، دلیل اصلی این است که الان کاربران می‌توانند خسارت بگیرند. اگر این اتفاق برای یک کیف‌پول کوچک و مستقل می‌افتاد، احتمالاً کاربران باید با پول خود خداحافظی می‌کردند. این ماجرا اهمیت استفاده از پلتفرم‌های “با پشتوانه مالی قوی” را نشان می‌دهد.

جمع‌بندی: پایانی خوش بر یک داستان ترسناک

هک ۷ میلیون دلاری تراست ولت، زنگ هشداری برای کل صنعت کریپتو بود. خوشبختانه، واکنش سریع تیم و تضمین بازپرداخت، اعتماد را به جامعه بازگرداند. اگر شما هم قربانی این نسخه مخرب شده‌اید، همین امروز مدارک خود را در سایت رسمی ثبت کنید و منتظر واریز باشید.

آیا شما از نسخه افزونه کروم استفاده می‌کنید یا نسخه موبایل را ترجیح می‌دهید؟

ذخیره‌سازی امن دارایی‌ها با لایه‌های امنیتی چندگانه در کوینکس

سلب مسئولیت: این گزارش راهنمای آموزشی است. برای دریافت خسارت فقط از کانال‌های رسمی اقدام کنید و مراقب کلاهبرداران باشید. کوینکس مسئولیتی در قبال لینک‌های خارجی ندارد.