مروری بر حادثه امنیتی کیف پول افزونه: در حالی که نرم‌افزارهای جعلی و حملات فیشینگ وجود دارند، آسیب‌پذیری‌های رسمی مستقیم کمتری وجود دارد.

اخبار BlockBeats، ۲۶ دسامبر: امروز صبح، Trust Wallet، بزرگترین کیف پول ارز دیجیتال غیرمتمرکز از نظر تعداد کاربران، یک هشدار امنیتی صادر کرد که وجود یک آسیب‌پذیری امنیتی در افزونه مرورگر نسخه ۲.۶۸ را تأیید می‌کرد. زک ایکس‌بی‌تی، کارآگاه درون‌زنجیره‌ای، فاش کرد که صدها کاربر تراست والت (Trust Wallet) با سرقت وجوه مواجه شده‌اند و مجموع ضرر و زیان آنها حداقل ۶ میلیون دلار بوده است. کیف پول تراست بیش از ۲ میلیارد بار دانلود شده است و تقریباً ۱۷ میلیون کاربر فعال ماهانه دارد که حدود ۳۵ درصد از سهم بازار را در اختیار دارد و این حادثه امنیتی را بسیار گسترده می‌کند. نگاهی به حوادث امنیتی که چندین افزونه مرورگر محبوب با آن مواجه شده‌اند:

در نوامبر ۲۰۲۲، مشخص شد که افزونه مرورگر Trust Wallet دارای یک آسیب‌پذیری WebAssembly است و فقط آدرس‌های کیف پول جدید ایجاد شده بین ۱۴ تا ۲۳ نوامبر ۲۰۲۲ را تحت تأثیر قرار می‌دهد. حدود ۱۷۰ هزار دلار سرقت شد. کیف پول تراست (Trust Wallet) از طریق یک برنامه‌ی پاداش در ازای اشکال (bug bounty program) این مشکل را کشف کرد، آسیب‌پذیری را برطرف کرد و به کاربران آسیب‌دیده غرامت کامل پرداخت کرد.

در سال ۲۰۲۲، MetaMask آسیب‌پذیری "Demonic" را تجربه کرد که نسخه‌های قدیمی‌تر قبل از ۱۰.۱۱.۳ را تحت تأثیر قرار می‌داد، جایی که کلیدهای خصوصی می‌توانستند در حافظه مرورگر قرار بگیرند. با این حال، هیچ ضرر و زیان قابل توجهی برای صندوق گزارش نشده است. متعاقباً، از سال ۲۰۲۳ تا ۲۰۲۵، افزونه رسمی کیف پول متامسک به صورت ایمن فعالیت می‌کرد اما اغلب توسط برنامه‌های افزونه جعلی هدف قرار می‌گرفت. گزارش Chainalysis حاکی از افزایش رویدادهای سرقت غیرعادی کاربران MetaMask در سال ۲۰۲۵ است که عمدتاً به دلیل نرم‌افزارهای مخرب تقلبی و فیشینگ و نه امنیت ذاتی افزونه کیف پول، رخ داده است. متامسک اکنون گزارش‌های امنیتی ماهانه منتشر می‌کند، اما به عنوان یک کیف پول افزونه محبوب اتریوم، همچنان هدف اصلی جعل و کلاهبرداری است.

در سال ۲۰۲۲، Phantom (افزونه اصلی کیف پول Solana) نیز با آسیب‌پذیری «Demonic» مواجه شد، بدون اینکه هیچ گونه ضرر مالی قابل توجهی گزارش شود. اوایل سال ۲۰۲۵ شاهد یک جنجال امنیتی در رابطه با افزونه کیف پول فانتوم بودیم، که در آن یک کاربر به دلیل قرار داشتن کلیدهای خصوصی به صورت متن واضح در حافظه، ۵۰۰۰۰۰ دلار از دست داد، که منجر به حمله هکرها و در نتیجه یک دادخواست دسته جمعی در دادگاه منطقه جنوبی نیویورک شد. بیانیه رسمی فانتوم، تمام اتهامات را قویاً رد کرد و اظهار داشت که این دعوی «بی‌اساس» است و با تأکید بر اینکه فانتوم یک کیف پول غیرکاستدی است، مسئولیت امنیت وجوه را بر عهده کاربر قرار داد.

در سال ۲۰۲۲، کیف پول Rabby (یک افزونه سازگار با DeFi) دچار هک شد که در آن تقریباً ۲۰۰۰۰۰ دلار دارایی رمزگذاری شده به دلیل آسیب‌پذیری Rabby Swap به سرقت رفت، که نه از خود افزونه، بلکه از ویژگی داخلی Swap بود.

رایج‌ترین روش سرقت برای کیف پول‌های افزونه مرورگر، از طریق دانلود برنامه‌های جعلی است. در سال ۲۰۲۵، چندین مورد متمرکز از چنین حوادثی در فروشگاه فایرفاکس رخ داد که چندین کیف پول محبوب رمزنگاری مانند MetaMask، Phantom و Trust Wallet را تحت تأثیر قرار داد. از سوی دیگر، آسیب‌پذیری‌های رسمی مستقیم افزونه‌ها کمتر رایج هستند. توصیه می‌شود کاربران فقط از فروشگاه وب رسمی کروم دانلود کنند تا امنیت وجوه خود را تضمین کنند.