محفظة الإيثريوم (ETH) تضخ أكواد جافا سكريبت ضارة عبر النوافذ المفتوحة في المتصفح.
لم يستغرق هذا وقتاً طويلاً كي ينكشف، فلم نكد نبدأ هذا العام حتى نشاهد أول حادثة اختراق بيانات. وقد حذر خبير أمن المعلومات والحماية من التصيد الإلكتروني (phishing) هاري دينلي من تلك الثغرة في تغريدة له منذ بضعة أيام. وكان هذا بعد أسبوعين فقط من تعرض تطبيق محفظة البلوكتشين الشهيرة في تشين VeChain للاختراق، بجانب عمليات اختراق كبرى حدثت في ديسمبر/كانون الأول.
أُطلق اضافة شت كوين واليت (ورمزه: ckkgmccefffnbbalkmbbgebbojjogffn) على متصفح كروم في 9 ديسمبر/كانون الأول 2019. ولكن رابط هذا الاضافة كان قد حُذف من متجر متصفح غوغل كروم في وقت نشر هذا المقال، لذا ستجد رسالة خطأ 404 تقول (لا يمكن إيجاد الرابط المطلوب على الخادم). تنضم هذه الهجمة إلى حادثة مشابهة قبل أسبوع حين حذفت شركة غوغل تطبيق محفظة الإيثريوم ميتاماسك MetaMask من متجر غوغل بلاي Google Play.
وبحسب أحد تحليلات دينلي، فإن هذا الاضافة الضار كان يرسل المفاتيح الخاصة للمحافظ التي تُنشأ أو تدار من خلال واجهته إلى خادم بعيد خاص بجهة خارجية يعرف باسم “erc20wallet[.]tk”. وبجانب هذا، تُعد كل أموالك التي في هيئة الإيثريوم أو أية توكنات أخرى مبنية على بروتوكول ERC في خطر أيضاً. إذ يعمل الكود الضار كالتالي:
- يُنصِّب المستخدم الاضافة على متصفح كروم.
- يطلب الاضافة السماح له بحقن كود جافاسكريبت على 77 موقعاً.
- حين يحاول المستخدمون تصفح أيٍ من هذه المواقع، فإن الاضافة يحمّل ملفاً ضاراً آخر من ملف جافا سكريبت من الرابط:https://erc20wallet[.]tk/js/content_.js
- يحتوي ملف جافا سكريبت على كود خادع يصعب تفاديه.
- يعاد تنشيط الكود على المواقع الخمسة التالية:
MyEtherWallet.com
Idex.Market
Binance.org
NeoTrackr.ieo
Switcheo.exchange
- من ثم، يبحث الكود الضار عن معلومات التعريف الخاصة والمخزنة على هذه المنصات، ثم يجمع تلك المعلومات ويرسلها إلى خادم بعيد خاص بجهة خارجية.
أصدرت محفظة شت كوين نسختها لسطح المكتب أيضاً (لنظامي التشغيل 32 بت و64 بت) قبل أيام قليلة من هذا هذا الهجوم وكانت توزع 0.05 إيثريوم لكل مستخدم يحمل نسختها. وبالنظر إلى تعليقات المستخدمين على القناة الخاصة بالمحفظة على تطبيق تيليغرام Telegram، فإنها تشير إلى وجود كود ضار على نسخ سطح المكتب لديهم أيضاً. التضحية هائلة، عندما تحصل على 0.05 إيثريوم في مقابل معلومات محفظتك.
لا يزال من غير الواضح ما إذا كان فريق محفظة شت كوين مسئولاً عن الكود الضار أم أن ثمة هجوم حدث على اضافة متصفح كروم من قبل طرف ثالث. ولكن على كل حال، فإن اسم “شت كوين واليت Shitcoin Wallet” كان من المفترض أن يعمل كإشارة تحذيرية للمستخدمين كي يبعدوا عن كل البرمجيات المرتبطة بها. ومع ذلك، ومن المثير للسخرية، فإن الصفحة الرئيسية لمحفظة شت كوين واليت تقول: “محفظة شت كوين (والتي ترجمتها العملات سيئة الأداء) آمنة وحصينة”.
إخلاء المسؤولية: الآراء والتحليلات والأخبار الواردة لا تعكس رأي بت شين. لا ينبغي اعتبار أي من المعلومات التي تقرأها على موقع بت شين بمثابة نصيحة استثمارية، ولا تصادق بت شين على أي مشروع قد يتم ذكره أو ربطه في هذه المقالة. يجب اعتبار شراء وتداول العملات المشفرة نشاطًا عالي المخاطر. ويرجى بذل المجهود الواجب قبل اتخاذ أي إجراء يتعلق بالمحتوى المذكور ضمن هذا التقرير. لا تتحمل بت شين أي مسؤولية في حالة خسارة الأموال في تداول العملات المشفرة.