كيف استنزفت هجمة برمجيات خبيثة متطورة محفظة مستثمر عملات مشفرة سنغافوري لمدة ثماني سنوات

عندما واجه مارك كوح فرصة اختبار لعبة تبدو شرعية على تيليجرام في أوائل ديسمبر، لم يكن لديه سبب للاشتباه في وجود خطر. مؤسس منصة دعم الضحايا RektSurvivor، الذي يمتلك خبرة واسعة في تقييم مشاريع Web3، أعجب بموقع MetaToy المصقول، ومجتمع Discord النشط، وتفاعلات الفريق السريعة. جعل العرض المهني لمشغل اللعبة يبدو موثوقًا—النوع الذي لا يخلو من مستوى واضح من الشك، لم يكن هناك ذلك.

لكن المظاهر خادعة. عند تثبيت مشغل MetaToy، أصيب نظامه عن غير قصد ببرمجيات خبيثة متقدمة مصممة خصيصًا لاستهداف حاملي الأصول المشفرة.

تطور الهجوم: تعقيد تقني يتجاوز التهديدات الأساسية

خلال 24 ساعة من تنفيذ تدابير أمنية شاملة—فحوصات كاملة للنظام، حذف ملفات مشبوهة، وحتى إعادة تثبيت كاملة لنظام Windows 11—تم تفريغ كل المحافظ البرمجية المتصلة. الضرر: 14,189 دولار أمريكي (ما يعادل 100,000 يوان) تراكمت على مدى ثماني سنوات، تم استنزافها بالكامل من إضافات متصفحي Rabby و Phantom.

كان رد فعل كوح منهجيًا. على الرغم من أن مضاد الفيروسات الخاص به اكتشف ووقف النشاط المشبوه، بما في ذلك محاولتين لسرقة DLL، نجح المهاجمون. قال لخبراء الأمن: “كان لدي كلمات سر منفصلة للمفاتيح الأولية. لم يُحفظ شيء رقميًا”، ومع ذلك اختفت الأموال على أي حال.

كشفت التحليلات التقنية عن هجوم متعدد الطبقات. جمع الهجوم بين سرقة رموز المصادقة واستغلال ثغرة zero-day في Google Chrome تم توثيقها لأول مرة في سبتمبر—مما مكن من تنفيذ تعليمات برمجية عن بُعد على جهازه. “كان له عدة مسارات وزرع أيضًا عملية مجدولة خبيثة”، أوضح كوح، مشيرًا إلى أن المحتالين نشروا طرق هجوم احتياطية في الوقت نفسه.

حادث سنغافورة واتجاهات الجرائم الإلكترونية الأوسع

أبلغ كوح الشرطة في سنغافورة، التي أكدت استلام تقرير الاحتيال. تعرض ضحية ثانٍ، يُدعى دانيال، من نفس المنطقة، لنفس الاختراق بعد تحميله لنفس مشغل اللعبة المملوء بالبرمجيات الخبيثة. من الجدير بالذكر أن المحتال حافظ على التواصل مع دانيال، معتقدًا زائفًا أنه لا يزال مهتمًا بالوصول إلى المنصة.

يمثل هذا الهجوم من سنغافورة مثالاً على تكتيكات توزيع البرمجيات الخبيثة المعقدة بشكل متزايد. تشمل الاتجاهات الحديثة في الجرائم الإلكترونية مستودعات GitHub التي تُستخدم لزيادة استمرارية برمجيات التجسس البنكية، وتزييف أدوات الذكاء الاصطناعي لنشر نسخ سرقة العملات المشفرة، وطلبات سحب خبيثة تتسلل إلى إضافات Ethereum، وأنظمة CAPTCHA مزيفة مصممة لجمع بيانات الاعتماد.

التدابير الوقائية: توصيات كوح للأهداف ذات القيمة العالية

نظرًا لتعقيد الهجمات، يؤكد كوح على بروتوكولات وقائية للمطورين، والمستثمرين الملائكيين، وغيرهم ممن قد يقومون بتحميل تطبيقات بيتا:

إزالة كلمات السر من المحافظ الساخنة على المتصفح عند عدم الاستخدام. لم تكن ممارسات الأمان التقليدية كافية لمواجهة هذا الهجوم، مما يجعل العزل الإضافي ضروريًا.

إعطاء الأولوية لإدارة المفاتيح الخاصة على تخزين كلمات السر. استخدام المفاتيح الخاصة يقلل من التعرض—إذا تم اختراق محفظة واحدة، تظل المحافظ المشتقة محمية.

افترض أن المهاجمين المتطورين يستخدمون عدة مسارات عدوى. لا تضمن اكتشافات مضاد الفيروسات لبعض التهديدات أمان النظام بشكل كامل؛ افترض وجود آليات هجوم احتياطية.

تعد حادثة MetaToy تذكيرًا صارخًا بأن حتى المستثمرين المتمرسين في العملات المشفرة، الذين يمتلكون حكمًا مهنيًا وأدوات أمان، يظلوا عرضة لتهديدات منسقة ومتقدمة تقنيًا. إن الجمع بين الهندسة الاجتماعية (الواجهة المهنية)، وتوصيل البرمجيات الخبيثة (مشغل اللعبة)، واستغلال zero-day خلق سطح هجوم لا يمكن للدفاعات التقليدية منعه بالكامل.