مستثمر في العملات الرقمية يفقد 800 ألف دولار من محفظته خلال 46 ساعة

لجأ مستثمر في العملات الرقمية، يُعرف باسم "Sell When Over"، إلى تويتر ليكشف تفاصيل حادثة مُقلقة حيث قام مُخترق بسرقة 800 ألف دولار من محافظه الرقمية خلال 46 ساعة فقط. ويبدو أن المشكلة الرئيسية تكمن في ثغرة أمنية مُحتملة في جوجل كروم، ربما بسبب تأخر التحديثات أو برامج خبيثة غير مكتشفة، مما أدى إلى تثبيت إضافات ضارة دون إذن.

تفكك طبقات الأمان

روى صاحب مدونة Sell When Over كيف أجّل تحديثًا لمتصفح Chrome، ليُجبره تحديث لاحق لنظام Windows على تثبيته. بعد إعادة تشغيل الجهاز، ظهرت التغييرات على Chrome فورًا: اختفت علامات التبويب، وأُعيد ضبط بيانات تسجيل الدخول للإضافات. أجبره هذا الخلل على إعادة استيراد عبارات الاسترداد الخاصة بمحفظته، وهي عملية نفّذها بدقة متناهية من جهاز ثانوي سليم.

لكن اكتشاف امتدادين غريبين، هما "Sync Test Beta" و"Simple Game"، بالإضافة إلى تفعيل الترجمة الكورية التلقائية دون طلب، أشار إلى اختراق أعمق. ومن المثير للاهتمام أن تطبيق محفظة محددًا، لم يتأثر بعملية إعادة الاستيراد، وظل سليمًا، مما يؤكد أن مصدر الاختراق هو جهاز كمبيوتر واحد مخترق.

كشف المزيد من البحث في هذه الإضافات عن وظائف مثيرة للقلق. فقد تمdentإضافة "Sync Test Beta"، ذات الألوان الزاهية، على أنها برنامج لتسجيل ضغطات المفاتيح، حيث تقوم بنقل البيانات سرًا إلى سكربت PHP خارجي. من ناحية أخرى، بدت إضافة "Simple Game" وكأنها تراقب أنشطة علامات تبويب المتصفح. وقد أعرب موقع Sell When Over عن أسفه لعدم جدوى إعادة ضبط جهاز الكمبيوتر بالكامل عند أدنى خلل، خاصةً عندما تتزامن هذه المشاكل مع تحديثات مهمة مثل التحديث الشامل لواجهة مستخدم Chrome.

درس مكلف في اليقظة الرقمية

مع اتساع نطاق التحقيق، كشفت مجموعة "Sell When Over" عن ثغرة أمنية خطيرة، تمثلت في اختراق بيانات تسجيل الدخول إلى جوجل باستخدام جهاز ويندوز غير معروف، ربما عن طريق انتحال اسم جهاز مألوف لتجاوز الكشف المبكر. وقد تم tracهذا الاختراق إلى خادم افتراضي خاص (VPS) مُستضاف لدى شركة Kaopu Cloud، المعروفة في أوساط المخترقين بدورها في العديد من الجرائم الإلكترونية. وعلى الرغم من تفعيل المصادقة الثنائية (2FA)، تمكن المهاجم من تجاوزها، مما جعل طريقة الاختراق الدقيقة - التي تراوحت بين التصيد الاحتيالي عبر بروتوكول OAuth وهجمات البرمجة النصية عبر المواقع - موضع تكهنات.

شكّلdent بمثابة جرس إنذار قاسٍ، حيث شارك موقع Sell When Over العديد من النقاط الرئيسية المستفادة:

1. خيبة أمل بسبب فشل برنامج Bitdefender في اكتشاف أي تهديدات، على عكس فعالية برنامج Malwarebytes.
2. تحذير من التهاون في مجال الأمن، بغض النظر عن حجم العملات المشفرة التي يتم التعامل معها.
3. نصيحة صارمة بعدم إدخال عبارات الاستبدال تحت أي ذريعة، والدعوة إلى إعداد نظام جديد بدلاً من ذلك.
4. التخلي عن متصفح كروم لصالح متصفحات أكثر أمانًا مثل متصفح بريف.
5. أهمية فصل الأجهزة، وخاصة بالنسبة لمعاملات العملات المشفرة.
6. المراقبة المنتظمة لتنبيهات نشاط جوجل.
7. توصيات بتعطيل مزامنة الإضافات، خاصة على الأجهزة المخصصة للعملات المشفرة.
8. إقرار بقيود المصادقة الثنائية.
9. ضرورة إجراء عمليات تدقيق أمني دورية وتحديثات إجرائية لدرء التهديدات الكامنة.

وسط الخسائر المالية، أوضح سيل وين أوفر أن محفظته الإلكترونية لا تزال آمنة، نافيًا أي تكهنات حول دوافع التهرب الضريبي وراء هذا التصريح. ورغم بدء غسل جزء من الأموال المسروقة، عُرضت مكافأة قدرها 150 ألف دولار لمن يُعيدها، إلى جانب النظر في إجراء تحقيق جنائي قائم على المكافأة.

اختتمت الملحمة بنبرة من اليقظة المستمرة، خاصة في ظل قرار جوجل المشكوك فيه بربط تنبيهات الأمان - وهي خطوة ربما أخفت عملية الاختراق.