#钱包安全漏洞 في الآونة الأخيرة، تم الكشف عن سرقة بقيمة 6 ملايين دولار من محفظة Trust Wallet، وبعد أن فحصت بعناية تحليل Slowmist - اتضح أن المشكلة كانت في الإصدار 2.68 من ملحق المتصفح الذي تم حقن مكتبة PostHog JS فيه لجمع بيانات المستخدمين، والأكثر ألماً أن الإصدار المصحح لم يقم بإزالة هذا الأمر بشكل كامل.

هذا يذكرني بحادثة ثغرة "Demonic" قبل سنتين، عندما عانى البعض من العواقب. الآن أصبحت المشاكل أكثر تخفياً: ليست مجرد ثغرات في الأكواد، بل جمع بيانات محفظتك في الخلفية دون علمك.

الإستراتيجية الدفاعية التي توصلت إليها مؤخراً هي كالتالي - إذا واجهت محفظتك مشكلة، فلا تقم بأي عملية عبر الإنترنت مطلقاً، قم بتصدير العبارة الاحتياطية في وضع بدون اتصال بالإنترنت ثم نقل أصولك، وإلا فقد يسرق المتلصصون أموالك في اللحظة التي تفتح فيها المحفظة. علاوة على ذلك، بمجرد عمل نسخة احتياطية من العبارة الاحتياطية، يجب نقل الأصول أولاً قبل الترقية، إذا عكست الترتيب ستواجه مخاطر كبيرة جداً.

هناك نقطة أخرى يتم تجاهلها بسهولة: معظم حالات السرقة في الواقع ليست بسبب ثغرات في الملحق نفسه، بل لأن المستخدمين قاموا بتحميل نسخ مزيفة أو تعرضوا للتصيد الاحتيالي. المحافظ الرائدة مثل MetaMask و Phantom تعرضت لهذا من قبل، وتم اختراق متجر Firefox في وقت من الأوقات. لذا القاعدة بسيطة جداً - قم بالتحميل فقط من Chrome Web Store الرسمي، وتجنب جميع القنوات الأخرى بالكامل.

البقاء فترة طويلة في سلسلة البلوك يتطلب التفكير خطوة واحدة أبعد من الآخرين، خاصة عندما يتعلق الأمر بأمان الأصول - لا توجد فرصة للتعلم من الأخطاء.