2025-12-26 18:25:18

محفظة Trust Wallet امتدت التوسعة الخاصة بالمتصفح مؤخراً إلى حادث أمني مؤلم جداً — حيث أصدرت الشركة إصداراً عاجلاً بشأن الإصدار 2.68، ونصحت المستخدمين فوراً بتعطيله والترقية إلى الإصدار 2.69. الغريب في الأمر أن الكثيرين لم يقوموا فعلاً بالترقية يدويًا.

الحالة هي كالتالي: إذا قمت بتثبيت الإصدار 2.67، ثم أعدت تشغيل متصفح Chrome، فسيتم ترقية الإضافة تلقائياً إلى 2.68. وبمجرد إجراء أي عملية توقيع، قد يتم تسريب عبارة الاسترداد الخاصة بك. الأمر لا يتطلب كسر حماية معقد، بل هو مجرد حفر في مسار التحديث.

المشكلة المزعجة هنا هي أن "الترقية الآمنة" كانت من المفترض أن تكون ضد المخاطر، لكنها في الواقع أصبحت مدخلاً للمخاطر. لم يتم اختراق المحفظة بسبب كسر خوارزمية أو هجوم عنيف على قاعدة البيانات، بل حدث خطأ خلال عملية تحديث البرنامج. أنت تستخدم المحفظة بشكل طبيعي، وتوقع معاملة بشكل عادي، لكن البيانات الحساسة التي لا ينبغي أن تظهر أبداً في أي مكان، مثل المفاتيح المشتقة، وعبارات الاسترداد، ومواد المفاتيح، قد تتعرض للتسريب مباشرة إلى المهاجمين.

هذه الحادثة تستحق التنبيه حقاً. بالنسبة لمستخدمي Web3، كل تحديث لإصدار المحفظة يتطلب مزيداً من الحذر.

شاهد النسخة الأصلية

قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.

تسجيلات الإعجاب 14

أعجبني
14
6
إعادة النشر
مشاركة

تعليق

0/400

SatoshiLeftOnRead

· منذ 9 س

هذه جنونية، الترقية تفتح لك جرحًا الترقية الأمنية أصبحت ثغرة أمنية، يا لها من مفاجأة هل يجب حقًا إلغاء تثبيت Trust Wallet؟ كنت أعتقد أنها مجرد خطأ صغير، لم أتوقع أن أكون عاريًا مباشرة في هذا الزمن، حتى لا يمكنك الوثوق بمحفظة تحديث المسار يملأ الحفر... الأساليب فعلاً محترفة هل يمكن أن يتسرب عبارة الاسترجاع؟ أليس هذا مجرد لعب؟ لا عجب أن المجموعات تتذمر مؤخرًا من Trust الترقية نفسها أصبحت أكبر ثغرة مخاطرة يبدو أنني بحاجة للتحكم يدويًا في الإصدار، التحديث التلقائي مقرف جدًا يجب أن أتحقق بسرعة من رقم الإصدار المثبت

شاهد النسخة الأصليةرد0

RektRecovery

· 12-26 18:55

هاها، إذن "تحديث الأمان" كان الاستغلال طوال الوقت... لحظة ويب3 الكلاسيكية. التحديث التلقائي إلى فخ العسل؟ هذا ليس خطأ، بل هو داروينية مع خطوات إضافية.

شاهد النسخة الأصليةرد0

FOMOrektGuy

· 12-26 18:55

هذه المرة يا رجل، التحديث الأمني أصبح بمثابة باب خلفي، أمر لا يصدق

شاهد النسخة الأصليةرد0

Layer2Observer

· 12-26 18:40

التحديث التلقائي هذا التصميم غير معقول، لم يفكروا جيدًا في الأمر على الإطلاق --- من ناحية تحليل الكود المصدري، فإن هذا النوع من الثغرات هو في الواقع عدم إدارة الصلاحيات بشكل جيد، وهو أمر بسيط جدًا --- انتظر، هل يتم كشف عبارة الاسترجاع مباشرة في الذاكرة؟ أليس هذا هو المعيار الأساسي لإدارة المفاتيح ولم يتم الالتزام به؟ --- بصراحة، آلية التحديث يجب أن تتضمن نافذة تأكيد، كيف لمشاريع كبيرة كهذه أن تفرض التحديث بشكل قسري بشكل افتراضي --- يبدو أن عملية تدقيق أمان محافظ Web3 ربما تحتاج حقًا إلى إعادة تنظيم كاملة --- هل لا زال الإصدار 2.68 يعمل في بيئة الإنتاج، هل لدى الجهات الرسمية بيانات؟ --- لو فكرنا بشكل معاكس، لماذا لم يتم اكتشاف هذه المشكلة خلال مرحلة الاختبار... ما هو سير عملية مراجعة الكود؟ --- يا للأسف، الثقة أصلاً هشة، والآن الأمر أصبح أكثر إيلامًا --- يجب توضيح نقطة واحدة، هل يعني ذلك أن عملية توقيع واحدة يمكن أن تكشف جميع عبارات الاسترجاع، أم أن الأمر مجرد تعرض للمخاطر؟ هذا بحاجة لمزيد من التحقق --- تحديث المحفظة كان من المفترض أن يعزز الثقة، لكنه أصبح فرصة لتدميرها، وهذا بالفعل يستحق إعادة النظر

شاهد النسخة الأصليةرد0

DisillusiionOracle

· 12-26 18:31

يا إلهي، التحديث التلقائي يملأ الحفر؟ هذا أسوأ من الهجوم --- مستوى الثقة ينخفض مباشرة إلى الصفر، التحديث أصبح تذكرة دخول خلفية --- يا للغرابة، مجرد توقيع معاملة يفقدك عبارة الاسترداد، من كان يتوقع ذلك --- مرة أخرى، المشكلة من التحديث التلقائي، الآن عندما أرى تنبيهات المتصفح أريد إلغاء التثبيت --- Trust Wallet؟ يبدو أكثر مثل Trust Trap ههه --- لذا الآن حتى التحديثات يجب أن تكون حذرًا كحذر من اللصوص --- ما مدى سوء عملية التكرار التي يمكن أن تؤدي إلى تسريب عبارة الاسترداد --- أكثر شيء يوجع من الخيانة هو الأدوات التي تثق بها --- هل يتم كشف عبارة الاسترداد مباشرة عند التوقيع؟ ماذا عن فريق الأمان --- تم حفر حفر في مسار التحديث، كأنه يفتح باب خلفي للمهاجمين بشكل متعمد --- الأفضل أن تحتفظ بمحفظة باردة بنفسك، هذه الإضافات للمتصفح حقًا

شاهد النسخة الأصليةرد0

DancingCandles

· 12-26 18:28

اتضح أن التحديث كان بمثابة حفر حفرة، يا لها من سخافة الأمر المتعلق بالمحفظة يجب مراقبته بدقة، لا يمكن أن يكون هناك أي تهاون إفشاء كلمات الاسترجاع بشكل مباشر، هذه العملية كانت مذهلة الترقية التلقائية هي الأكثر ضررًا، يفضل الاعتماد على التحديث اليدوي التحديث المفاجئ أدى إلى سرقة المكافآت، Web3 حقًا مثير

شاهد النسخة الأصليةرد0