كشف موقع SlowMist أن مشروع "Solana-pumpfun-bot" مفتوح المصدر واسع الانتشار على منصة GitHub يحتوي على كود يسرق العملات المشفرة من محافظ مستخدميه.
بدأ التحقيق في 2 يوليو 2025. اتصل أحد الضحايا بفريق أمن SlowMist لطلب المساعدة في تحليل أسباب سرقة أصول محفظته.
dent الحادث نتيجة استخدامه لمشروع مفتوح المصدر مُستضاف على منصة GitHub في اليوم السابق، حيث سُرقت الأصول المُشفّرة. شركة SlowMist بأن الأموال المسروقة تُحوّل إلى منصة FixedFloat.
لتنفيذ الهجوم، انتحل المخترق صفة مشروع مفتوح المصدر رسمي (solana-pumpfun-bot) لحث المستخدمين على تحميل وتشغيل برمجيات خبيثة. وخلال التحقيق، تبيّن أن حزمةdent مشبوهة تُدعى "crypto-layout-utils" قد أُزيلت من مصدر NPM الرسمي.
قام المخترق لاحقًا بتحميل نسخة خبيثة من البرنامج بدلاً من رابط التحميل الأصلي. وأرسل بيانات حساسة إلى خادم يتحكم به المهاجم بعد البحث في جهاز الضحية عن ملفات متعلقة بالمحفظة الإلكترونية.
كشف التحقيق أيضاً أن مؤلف المشروع يُشتبه في تحكمه بعدة حسابات على منصة GitHub. وقد استُخدمت هذه الحسابات لإنشاء نسخ متفرعة من مشاريع خبيثة، وتوزيع برامج ضارة، وتضخيم شعبية المشروع بشكل مصطنع. وتمdentالعديد من المشاريع المتفرعة ذات السلوك الخبيث المماثل، والتي استخدم بعضها حزمة خبيثة أخرى تُدعى "bs58-encrypt-utils".
تتضمن سلسلة الهجوم بأكملها عدة حسابات على منصة GitHub تعمل معًا. وقد وسّع هذا نطاق الانتشار، وعزز المصداقية، وكان شديد التضليل. في الوقت نفسه، استخدم هذا الهجوم أساليب الهندسة الاجتماعية والتقنية، ويصعب الدفاع عنه بشكل كامل داخل أي مؤسسة.
يُعتقد أن النشاط الخبيث قد بدأ في 12 يونيو 2025. وهذا هو الوقت الذي أنشأ فيه المهاجم الحزمة الخبيثة "bs58-encrypt-utils".
لم يتطور اختراق العملات المشفرة كثيراً؛ بل أصبحوا أكثر دهاءً
بحسب شركة Slowmist، لم تشهد تقنيات اختراق العملات الرقمية تطوراً كبيراً، لكنها أصبحت أكثر دهاءً. وقالت في تقرير الشركة للربع الثاني بعنوان "تحليل الأموال المسروقة من Mist Trac ، إنه على الرغم من عدم رصد أي تقدم في تقنيات الاختراق، إلا أن عمليات الاحتيال أصبحت أكثر تعقيداً .
هناك تزايد في استخدام إضافات المتصفح المزيفة، ومحافظ الأجهزة المُعدّلة، وهجمات الهندسة الاجتماعية. وقالت ليزا: "نشهد تحولاً واضحاً من الهجمات التي تستهدف سلسلة الكتل فقط إلى نقاط دخول خارجها، حيث أصبحت إضافات المتصفح، وحسابات وسائل التواصل الاجتماعي، وعمليات المصادقة، وسلوك المستخدم، جميعها نقاط ضعف شائعة للهجمات" .
على سبيل المثال، يقوم المهاجمون بتوجيه المستخدمين لزيارة مواقع إلكترونية معروفة وشائعة الاستخدام مثل Notion أو Zoom. وعندما يحاول المستخدم تنزيل برامج من هذه المواقع الرسمية، تكون الملفات التي تم تسليمها قد تم استبدالها بالفعل ببرامج خبيثة.
هناك طريقة أخرى تتمثل في قيام المخترقين بإرسال محفظة باردة مخترقة للمستخدمين. يخبرون ضحاياهم بأنهم ربحوا جهازًا مجانيًا في "سحب يانصيب"، أو يخبرونهم بأن أجهزتهم الحالية قد تم اختراقها وأنهم بحاجة إلى نقل أموالهم. بل إن المخترقين قد أنشأوا مواقع ويب مزيفة.
عادةً ما تكون الضربة القاضية هي التلاعب. تقول ليزا: "يدرك المهاجمون أن عبارات مثل "تم اكتشاف توقيع مشبوه" يمكن أن تثير الذعر، مما يدفع المستخدمين إلى اتخاذ إجراءات متسرعة. وبمجرد إثارة هذه الحالة العاطفية، يصبح من الأسهل بكثير التلاعب بهم لحملهم على فعل أشياء لا يفعلونها عادةً، مثل النقر على الروابط أو مشاركة معلومات حساسة" .
استخدمت هجمات أخرى أساليب اختراق استغلت ثغرة EIP-7702 ، التي أُضيفت في أحدث إصدار من Ethereum بيكترا. كما استهدف هجوم آخر حسابات العديد من مستخدمي وي تشات. ووفقًا لشركة سلو ميست، Ethereum جميع الأنظمة البيئية من حيث الخسائر الأمنية في النصف الأول من عام 2025، حيث DeFi حوالي 470 مليون دولار.
