نظرة عامة على حوادث أمان محافظ الإضافات: معاناة مستمرة من البرامج المزيفة وهجمات التصيد الاحتيالي، في حين أن الثغرات الرسمية المباشرة قليلة

أفادت BlockBeats أنه في 26 ديسمبر، أصدرت Trust Wallet هذا الصباح تحذيراً أمنياً رسمياً، مؤكدة وجود ثغرة أمنية في إصدار إضافة المتصفح Trust Wallet 2.68. ووفقاً لمراقبة المحقق على السلسلة ZachXBT، فقد تم سرقة أموال مئات المستخدمين من Trust Wallet، وبلغت الخسائر ما لا يقل عن 6 ملايين دولار أمريكي. فيما يلي بعض الحوادث الأمنية التي تعرضت لها إضافات المتصفح الرئيسية:

كما تم اكتشاف ثغرة WebAssembly في إضافة متصفح Trust Wallet في نوفمبر 2022، وقد أثرت فقط على العناوين الجديدة التي تم إنشاؤها بين 14 و23 نوفمبر 2022. أدى ذلك إلى سرقة حوالي 170 ألف دولار أمريكي، وقد اكتشفت Trust Wallet المشكلة من خلال برنامج مكافآت الثغرات، وقامت بإصلاحها وتعويض جميع المستخدمين المتضررين بالكامل.

في عام 2022، ظهرت ثغرة "Demonic" في MetaMask، أثرت على الإصدارات القديمة قبل 10.11.3، حيث كان من الممكن كشف المفاتيح الخاصة في ذاكرة المتصفح، لكن لم يتم تسجيل خسائر مالية واسعة النطاق معروفة. بعد ذلك، عملت إضافة محفظة MetaMask الرسمية بأمان بين 2023 و2025، لكنها تعرضت بشكل متكرر لتأثير إضافات مزيفة. وأظهر تقرير Chainalysis أنه في عام 2025، ارتفعت بشكل غير طبيعي حوادث سرقة مستخدمي MetaMask، وكان السبب الرئيسي هو البرمجيات الخبيثة المزيفة وهجمات التصيد الاحتيالي، وليس أمان المحفظة نفسها. تصدر MetaMask تقارير أمنية شهرية حول ذلك، لكنها تظل الهدف الأول للتزوير باعتبارها محفظة إضافات Ethereum الأكثر شعبية.

كما تأثرت Phantom (إضافة المحفظة الرئيسية لـ Solana) بثغرة "Demonic" في عام 2022، ولكن أيضاً دون تسجيل خسائر مالية واسعة النطاق معروفة. وفي أوائل عام 2025، ظهرت جدل أمني يتعلق بإضافة محفظة Phantom، حيث خسر أحد المستخدمين 500 ألف دولار أمريكي، ونُسب ذلك إلى تخزين المفتاح الخاص في الذاكرة دون تشفير من قبل Phantom، مما أدى إلى هجوم من قبل القراصنة، وتم رفع دعوى جماعية في محكمة المنطقة الجنوبية لنيويورك. وأصدرت Phantom بياناً رسمياً نفت فيه جميع الاتهامات بشدة، ووصفت الدعوى بأنها "لا أساس لها"، وأكدت أن Phantom هي محفظة غير احتجازية وأن مسؤولية أمان الأموال تقع على عاتق المستخدم.

في عام 2022، أدى خلل في Rabby Swap إلى سرقة حوالي 200 ألف دولار أمريكي من الأصول المشفرة من خلال Rabby Wallet (إضافة صديقة لـ DeFi)، ولم يكن الخلل من الإضافة نفسها بل من وظيفة Swap المدمجة.

أكثر طرق سرقة محافظ إضافات المتصفح شيوعاً هي تحميل التطبيقات المزيفة، حيث شهد متجر Firefox في عام 2025 عدة موجات من هذه الحوادث، وأثرت على العديد من محافظ الإضافات المشفرة الرئيسية مثل MetaMask وPhantom وTrust Wallet. أما الثغرات الرسمية المباشرة في الإضافات فهي أقل شيوعاً، ويوصى المستخدمون بتحميل الإضافات فقط من Chrome Web Store الرسمي لضمان أمان أموالهم.