تخيل أن تستيقظ في صباح يوم الكريسماس (أو يوم عطلة شتوية)، وتمسك بهاتفك لتفقد محفظتك الرقمية، لتجد الرصيد "صفراً". بالنسبة لمئات من مستخدمي **Trust Wallet**، تحول هذا الكابوس إلى حقيقة في الأيام الأخيرة من ديسمبر 2025. بينما كانت أسواق الكريبتو تستعد لارتفاعات نهاية العام، سمحت ثغرة أمنية خطيرة في **إضافة المتصفح (Chrome Extension)** الخاصة بـ Trust Wallet للقراصنة بحقن أكواد خبيثة، مما أدى إلى استنزاف أموال المستخدمين بصمت. تؤكد التقارير الأولية سرقة ما بين **6 إلى 7 ملايين دولار** في أقل من 48 ساعة. هذا الهجوم، الذي استهدف تحديداً الإصدار 2.68 من الإضافة، أعاد إشعال النقاش الحاد حول أمان "المحافظ الساخنة" (Hot Wallets). ولكن كيف حدث ذلك؟ وما هو رد فعل بينانس وTrust Wallet؟ والأهم من ذلك، هل سيستعيد الضحايا أموالهم؟ في هذا التقرير الشامل من TekinGame، نقوم بتشريح تفاصيل هذه السرقة الكبرى.
١. الحادثة: غارة منتصف الليل على الإصدار 2.68 بدأ كل شيء في الأيام الأخيرة من ديسمبر 2025. بدأت تقارير متفرقة تظهر على منصة X (تويتر سابقاً) حيث ادعى مستخدمون مذعورون أن أرصدتهم من الإيثريوم وسولانا والبيتكوين
قد تم استنزافها دون إذنهم، ودون أن يضغطوا على أي روابط تصيد. كشفت التحقيقات السريعة التي أجراها محققو البلوكشين أن جميع الضحايا لديهم قاسم مشترك: لقد قاموا مؤخراً بتثبيت أو تحديث إضافة متصفح Trust Wallet
. وتبين أن تحديثاً مخترقاً (الإصدار 2.68) يحتوي على برمجيات خبيثة قد تم دفعه إلى متجر Chrome Web Store. استمرت نافذة الهجوم مفتوحة لعدة ساعات قبل أن تعترف Trust Wallet رسمياً بالاختراق وتحث المستخدمين
على التحديث. ٢. التشريح التقني: كيف سرق القراصنة "عبارات الاسترداد"؟ على عكس اختراقات DeFi المعقدة التي تستهدف العقود الذكية، كان هذا "هجوم سلسلة توريد" (Supply Chain Attack) كلاسيكياً. نجح القراصنة في
التلاعب بالكود المصدري للإضافة نفسها. آلية السرقة: في الإصدار المصاب (v2.68)، تمت إضافة سكريبت خبيث يراقب مدخلات المستخدم. بمجرد أن يقوم المستخدم بإدخال كلمة المرور أو إنشاء محفظة جديدة، يقوم السكريبت
بنسخ عبارة الاسترداد المكونة من 12 كلمة (Seed Phrase) وإرسالها سراً إلى خادم يتحكم فيه المهاجمون. وفقاً لتقرير شركة الأمن SlowMist ، استخدم القراصنة نطاقاً (Domain) يشبه النطاقات الرسمية للتحليلات، مما
جعل من الصعب على جدران الحماية اكتشاف سرقة البيانات. ٣. الرد الرسمي: CZ و Trust Wallet يعدان بإعادة 7 ملايين دولار بعد تأكيد الهجوم، أصدرت Trust Wallet تحديثاً طارئاً (v2.69) لإزالة البرمجيات الخبيثة.
لكن السؤال الحارق للضحايا كان: "هل ضاعت أموالنا للأبد؟". في خطوة فاجأت الكثيرين، تدخل تشانغ بينغ تشاو (CZ) ، مؤسس بينانس (التي تمتلك Trust Wallet)، شخصياً. وأعلن أن إجمالي الضرر يقدر بحوالي 7 ملايين دولار
اقرأ المزيد على الموقع