هک تراست‌ولت؛ زنگ خطر برای امنیت کاربران رمزارز | دارایی‌های بزرگ خود را در کیف‌پول نرم‌افزاری نگه ندارید | رمز بازیابی را فیزیکی و آفلاین نگه دارید

رویداد۲۴| عرفان بیوک نژاد- کیف پول «تراست والت» مورد حمله سایبری قرار گرفته و بار دیگر هشداری جدی درباره امنیت دارایی‌های دیجیتال داده است. مدیرعامل سابق بایننس و مدیرعامل تراست ولت با انتشار پستی در شبکه اجتماعی ایکس، هک این کیف پول را تأیید کرده و اعلام کرده که مهاجمان از طریق نسخه آلوده افزونه کروم تراست والت توانسته‌اند به عبارت بازیابی کاربران دسترسی پیدا کنند و بیش از ۷ میلیون دلار دارایی دیجیتال را به سرقت ببرند.

بر اساس گفته این مقام سابق تراست ولت، این حمله تنها نسخه مرورگر را تحت تأثیر قرار داده و کاربران نسخه موبایل آسیبی ندیده‌اند. تراست والت نیز روند جبران خسارت کاربران را آغاز کرده است.

تراست ولت (Trust Wallet) یکی از محبوب‌ترین و پراستفاده‌ترین کیف پول‌های ارز دیجیتال در جهان است که به کاربران اجازه می‌دهد دارایی‌های دیجیتال خود را به‌صورت غیرمتمرکز ذخیره، مدیریت و مبادله کنند. تراست ولت در سال ۲۰۱۸ توسط صرافی بایننس خریداری و به کیف پول رسمی این صرافی تبدیل شد.

هک حساب‌های تراست ولت بار دیگر نکته مهمی را روشن می‌کند: صرافی‌ها محل نگهداری و انباشت دارایی کاربران نیستند، بلکه مکانی برای معامله و تبدیل دارایی‌ها محسوب می‌شوند. هرچند برخی صرافی‌ها مدعی هستند دارایی‌ها در کیف پول‌های سخت‌افزاری ذخیره می‌شود، اما تراکنش‌های آنلاین و دسترسی به محیط وب، آنها را در معرض حملات سایبری قرار می‌دهد.

حمله اخیر نشان داده نمونه‌های حمله به صرافی‌ها و هک دارایی کاربران، محدود به صرافی‌های کوچک نیست و حتی در صرافی‌های بزرگ جهانی مانند بایننس نیز اتفاق می افتد. این موضوع باعث شده کارشناسان توصیه کنند کاربران و سرمایه‌گذاران، حداقل برای نگهداری دارایی‌ها، از کیف پول‌های دیجیتال شخصی استفاده کنند و دارایی‌ها را برای مدت طولانی در کیف پول صرافی رها نکنند.

بیشتر بخوانید: ابعاد جدید سرقت از نوبیتکس | چقدر خسارت وارد شد؟

مبین زندی، کارشناس رمزارز، در گفت‌و‌گو با خبرنگار رویداد۲۴ با اشاره به هک کیف‌پول تراست‌ولت می گوید: «مهاجمان نسخه‌ای به‌روزرسانی‌شده و آلوده از افزونه را منتشر کردند که حاوی کدی مخرب برای سرقت عبارت بازیابی ۱۲ کلمه‌ای کاربران بود. این کد هنگام باز کردن کیف‌پول، عبارت بازیابی را رمزگذاری و به سروری تحت کنترل هکر‌ها ارسال می‌کرد.»

زندی ادامه داد: «تحقیقات نشان داد هکر‌ها با استفاده از یک کلید API لو رفته مرتبط با فروشگاه وب کروم توانستند فرایند‌های امنیتی تراست‌ولت را دور زده و نسخه آلوده را منتشر کنند.» او می گوید: این موضوع یادآور می‌شود که حتی امن‌ترین ساختار‌ها هم در برابر نقص‌های نرم‌افزاری آسیب‌پذیرند.

وی با اشاره به واکنش تراست‌ولت به این حادثه افزود: «این شرکت سریعاً نسخه اصلاحی را منتشر کرد و بایننس، مالک تراست‌ولت، متعهد شد تمام ۷ میلیون دلار دارایی سرقت‌شده را به کاربران بازپرداخت کند. با این حال، این اقدام تنها بخشی از خطرات امنیتی را رفع می‌کند و مسئولیت حفاظت از دارایی‌های دیجیتال همچنان بر عهده کاربران است.»

این کارشناس رمزارز درباره اهمیت تراست‌ولت گفت: «این کیف‌پول غیرحضانتی و چندزنجیره‌ای است؛ یعنی کلید‌های خصوصی کاربران روی سرور‌های شرکت ذخیره نمی‌شود و شعار آن این است که «کلید‌های شما، دارایی‌های شما». این مدل از نظر تئوریک امن‌ترین حالت نگهداری دارایی است، اما هک اخیر نشان داد هیچ امنیت مطلقی وجود ندارد.»

زندی با ارائه توصیه‌های امنیتی افزود: «کاربران بهتر است کیف‌پول‌های نرم‌افزاری را فقط برای مبالغ کم و تعاملات روزمره استفاده کنند، عبارت بازیابی خود را فیزیکی و آفلاین نگهداری کنند، نرم‌افزار‌ها را از منابع رسمی به‌روزرسانی کنند و برای سرمایه‌گذاری‌های بزرگ و بلندمدت از کیف‌پول‌های سخت‌افزاری استفاده کنند.»

وی تأکید کرد: «کیف‌پول‌های سخت‌افزاری مانند لجر، ترزور و سیف‌پل کلید‌های خصوصی را به‌صورت آفلاین و امن نگهداری می‌کنند و برای هر تراکنش نیاز به تأیید فیزیکی دارند، به همین دلیل در برابر حملات آنلاین مصون هستند. این ابزار‌ها به‌ویژه برای کاربران ایرانی که محدودیت دسترسی به صرافی‌ها دارند، اهمیت حیاتی دارند.»