احذر! تقوم ملحقات المحفظة الخبيثة لإيثريوم بسرقة عبارات البذور من خلال معاملات سوي الصغيرة.

أصدرت منصة أمان البلوكتشين Socket تقريرًا في 13 نوفمبر 2025، كشفت فيه عن ملحق خبيث لمتصفح Chrome يسمى “Safery: Ethereum Wallet”، يقوم بسرقة عبارة المستخدم التذكيرية من خلال أساليب هجوم فريدة. يحتل هذا الملحق المرتبة الرابعة في نتائج البحث عن “المحفظة” في متجر Chrome Web، ويقوم بتشفير عبارة BIP-39 التذكيرية إلى عنوان SUI في البلوكتشين ويرسل صفقة صغيرة بقيمة 0.000001 SUI لإتمام تسرب البيانات. حتى تاريخ إصدار التقرير، لا يزال بإمكان تحميل هذا الملحق منذ رفعه في 29 سبتمبر، ويجب أن تثير ميزات مثل عدم وجود تعليقات من المستخدمين، وأخطاء نحوية في معلومات العلامة التجارية، وحساب مطور Gmail، مستوى عالٍ من اليقظة لدى المستخدمين.

طرق انتشار خبيثة واستراتيجيات التمويه

“Safery: المحفظة الإيثريومية” تم رفعها كإضافة ضارة إلى متجر Chrome في 29 سبتمبر 2025، وسرعان ما ارتفعت إلى المرتبة الرابعة في نتائج بحث كلمة “محفظة إيثريوم” بفضل استراتيجيات تحسين محركات البحث، لتكون بعد MetaMask و Wombat و Enkrypt وغيرها من المحافظ الشرعية. قام المهاجمون بتصميم أيقونة الإضافة والوصف بعناية، مستخدمين واجهة بألوان زرقاء مشابهة للمحافظ الأصلية وعبارات ترويجية مثل “آمنة وموثوقة”، لكن الخطأ الإملائي في اسم العلامة التجارية “Safery” (يجب أن تكون Safety) أصبح العلامة الأولى للتعرف.

تظهر معلومات صفحة التمديد أن البريد الإلكتروني للمطور هو حساب مجاني من Gmail، وليس اسم مجال مؤسسي محترف؛ يحتوي وصف التمديد على العديد من الأخطاء النحوية؛ والأهم من ذلك، أن التمديد لم يحصل على أي تقييمات من المستخدمين خلال فترة 45 يومًا من تواجده على الإنترنت - هذه الميزات مجتمعة تشكل إنذارًا أحمر نموذجيًا للبرامج الضارة. وفقًا لسياسة Google الرسمية، يجب على متجر Chrome Web أن يقوم بفحص أمان التمديدات بشكل تلقائي، ولكن من الواضح أن هذه الطريقة الجديدة في الهجوم نجحت في تجاوز آلية الكشف. حتى 13 نوفمبر، لم تقم Google بإزالة هذا التمديد، وسجل التحديثات الأخير يظهر أن المهاجمين كانوا لا يزالون يعملون على تحسين الشيفرة في 12 نوفمبر.

تحليل المبادئ التقنية لآلية سرقة البيانات

على عكس البرامج الضارة التقليدية التي تستخدم خوادم التحكم في الأوامر لنقل البيانات، تعتمد هذه الإضافة تقنية تسرب البيانات من البلوكتشين بشكل خفي للغاية. عندما ينشئ المستخدم محفظة جديدة أو يستورد محفظة موجودة، تلتقط الإضافة العبارة التذكيرية الكاملة BIP-39، ثم تقوم بتشفير 12 أو 24 كلمة من العبارة التذكيرية إلى عنوان سوي يبدو طبيعياً. بعد اكتمال التشفير، ترسل الإضافة معاملات صغيرة قدرها 0.000001 SUI (حوالي 0.000001 دولار) من المحفظة التي يتحكم بها المهاجم إلى هذه العناوين المزيفة.

شرح باحث الأمان Socket كيريل بويتشينكو أن هذه التقنية تحول البلوكتشين العامة في جوهرها إلى طبقة لنقل البيانات. يحتاج المهاجمون فقط إلى مراقبة المعاملات على سلسلة Sui لفك تشفير العبارة التذكيرية الأصلية من عنوان المستلم. نظرًا لأن مبلغ المعاملات صغير للغاية ومختلط في حركة المرور العادية، فإن المستخدمين العاديين لا يستطيعون تقريبًا اكتشاف ذلك. والأكثر خطورة هو أن هذا الهجوم لا يعتمد على أدوات المراقبة الشبكية التقليدية، لأن تسرب البيانات يحدث من خلال استدعاءات RPC للبلوكتشين المشروعة، وعادةً ما لا تقوم جدران الحماية وبرامج مكافحة الفيروسات بتحديد هذه الأنشطة.

ملخص ميزات هجوم التمديد الخبيث

اسم التمديد: Safery: المحفظة إثيريوم

وقت الرفع: 29 سبتمبر 2025

آخر تحديث: 12 نوفمبر 2025

ترتيب متجر كروم: المركز الرابع (ابحث عن “إثيريوم المحفظة”)

أسلوب الهجوم: ترميز العبارة التذكيرية إلى عنوان SUI

مبلغ المعاملة: 0.000001 SUI

هدف السرقة: عبارة تذكيرية BIP-39

خصائص التعرف: صفر تعليقات، أخطاء نحوية، حساب مطور Gmail

الحالة الحالية: لا يزال بالإمكان التحميل (حتى 13 نوفمبر)

دليل التعرف على المستخدم وتدابير الحماية

بالنسبة للمستخدمين العاديين، يجب اتباع بعض المبادئ الأساسية للتعرف على هذه الإضافات الضارة. أولاً، قم بتثبيت الإضافات فقط من القنوات الرسمية والتي تحتوي على تقييمات حقيقية كثيرة - لدى MetaMask أكثر من 10 ملايين مستخدم وتقييم 4.8 نجوم، بينما عادةً ما تكون تقييمات الإضافات الضارة قليلة. ثانياً، تحقق بعناية من معلومات المطور، حيث تستخدم المشاريع الرسمية بريدًا إلكترونيًا خاصًا وموقعًا احترافيًا، وليس بريدًا مجانيًا. ثالثاً، انتبه إلى اتساق العلامة التجارية، حيث تعتبر الأخطاء الإملائية والتصميم السيئ غالبًا علامات خطر.

في الجانب العملي، ينصح خبراء الأمن باتباع استراتيجية حماية متعددة الطبقات. قبل تثبيت ملحق جديد، يجب استخدام أدوات مثل VirusTotal لفحص معرف الملحق؛ والتحقق بشكل دوري من تغييرات أذونات الملحقات المثبتة؛ واستخدام المحفظة الصلبة لتخزين الأصول الكبيرة، وتجنب حفظ المفاتيح الخاصة في ملحقات المتصفح. بالنسبة للمستخدمين المشتبه في إصابتهم، يجب عليهم نقل الأصول على الفور إلى محفظة آمنة تم إنشاؤها حديثًا، وإجراء فحص شامل للنظام. وتضيف Koi Security اقتراحًا بأن يراقب المستخدمون جميع معاملات البلوكتشين، خاصةً التحويلات ذات المبالغ الشاذة، حيث قد يشير ذلك إلى أن المهاجمين يقومون باختبار صلاحيات الوصول.

تطور تقنيات الاستجابة والكشف في صناعة الأمان

في مواجهة هذا النوع من الهجمات الجديدة، تعمل شركات الأمان على تطوير حلول كشف موجهة. لم تعد الطرق التقليدية التي تعتمد على أسماء النطاقات أو عناوين URL أو معرّفات التمديد كافية، لأن المهاجمين يستخدمون بنية تحتية للبلوكتشين قانونية بالكامل. تشمل الحلول الجديدة التي طرحتها Socket مراقبة استدعاءات RPC غير المتوقعة في المتصفح، والتعرف على أنماط ترميز العبارة التذكيرية، بالإضافة إلى الكشف عن سلوك إنشاء العناوين المركبة. خاصةً بالنسبة للمعاملات الخارجة التي يتم Initiated خلال عملية إنشاء أو استيراد المحفظة، يجب اعتبارها سلوكًا عالي المخاطر مهما كانت قيمتها صغيرة.

من الناحية الفنية، يتطلب الدفاع عن هذه الأنواع من الهجمات تعاونًا بين شركات المتصفح، وشركات الأمن، ومشاريع البلوكتشين. يحتاج متجر Chrome الإلكتروني إلى تعزيز التحليل الثابت والديناميكي لرمز الامتداد، خاصةً فيما يتعلق بمراجعة استدعاءات واجهة برمجة التطبيقات الخاصة بالبلوكتشين. يجب أن تقوم برامج الأمان بتحديث مكتبات الخصائص، ووضع علامة على سلوك تسريب العبارات التذكيرية غير المصرح بها على أنها خبيثة. يمكن لمشاريع البلوكتشين أيضًا النظر في اكتشاف أنماط المعاملات غير الطبيعية على مستوى العقد، على الرغم من أن ذلك قد يتعارض مع فكرة اللامركزية.

تطور تهديدات أمان البلوكتشين

من سرقة المفاتيح الخاصة من مواقع الصيد الاحتيالي في عام 2017، إلى استبدال عنوان الحافظة ببرامج المراقبة في عام 2021، وصولاً إلى تسرب بيانات التداول الصغيرة في الوقت الحالي، تتزايد وتتحول تهديدات أمان البلوكتشين باستمرار. تمثل هذه الأساليب التي تسرب البيانات عبر الشبكات البلوكتشين القانونية اتجاهاً جديداً - حيث يقوم المهاجمون باستغلال عدم قابلية التغيير والخصوصية التي توفرها البلوكتشين كأداة للهجوم. مقارنةً بالهجمات التقليدية، لا تتطلب هذه الطريقة صيانة خادم C&C، ومن الصعب تتبع هوية المهاجمين، كما أن عملية نقل البيانات “قانونية” تماماً.

تظهر البيانات التاريخية أن خسائر الأصول الناتجة عن حوادث أمان المحفظة تتجاوز مليار دولار سنويًا، حيث ارتفعت نسبة الحوادث المتعلقة بإضافات المتصفح من 15% في عام 2023 إلى 30% في عام 2025. تعكس هذه الزيادة تحول استراتيجيات المهاجمين - مع انتشار محافظ الأجهزة، زادت صعوبة الهجمات المباشرة على المحافظ الباردة، لذلك تم الانتقال إلى إضافات المحافظ الساخنة ذات الحماية الضعيفة نسبيًا. ومن الجدير بالذكر أن العديد من الإضافات الضارة الأخيرة قد قامت بتقليد تصميم واجهة مستخدم MetaMask، لكن يمكن تمييز الفروقات الطفيفة.

أفضل الممارسات لأمان الأصول الرقمية الشخصية

لضمان أمان الأصول الرقمية، يجب على المستخدمين建立 عادات أمان منهجية. أولاً، اعتماد استراتيجية التخزين الطبقي: استخدام المحفظة الخفيفة على الهاتف للمعاملات الصغيرة اليومية، واستخدام ملحق المتصفح مع التوقيع المادي للمبالغ المتوسطة، واستخدام محفظة باردة متعددة التوقيع للأصول الكبيرة. ثانياً، تنفيذ عزلة العمليات: إنشاء أجهزة مخصصة لإجراء العمليات المتعلقة بالمحفظة، وعدم خلطها مع تصفح الويب اليومي. ثالثاً، إجراء تدقيق أمني منتظم: فحص سجلات التفويض، تاريخ المعاملات، وأذونات الملحقات.

بالنسبة لمستخدمي الشركات، يُنصح بنشر نظام مراقبة أمني خاص، لمتابعة إضافات المتصفح التي يقوم الموظفون بتثبيتها، وإعداد آلية تحذير من معاملات البلوكتشين. يجب أن تتطلب التحويلات الكبيرة تفويضًا من عدة أشخاص، ويجب أن تمر العناوين المستقبلة بعملية تحقق. بالإضافة إلى ذلك، يجب إجراء تدريب منتظم للموظفين على هجمات الهندسة الاجتماعية، لزيادة قدرتهم على التعرف على رسائل البريد الإلكتروني الاحتيالية والمواقع الوهمية. على المستوى التقني، يُنصح باستخدام محفظة العقود الذكية، لتقليل مخاطر نقاط الفشل الفردية من خلال حدود يومية وآلية جهات الاتصال الموثوقة.

طلبات التعاون في الصناعة والاستجابة للرقابة

يتطلب حل هذه التهديدات الأمنية تعاونًا على مستوى الصناعة. يجب على شركات المتصفح إنشاء عمليات مراجعة أكثر صرامة للإضافات، وتنفيذ مراجعة خاصة للإضافات التي تصل إلى واجهات برمجة التطبيقات الخاصة بالبلوكتشين. تحتاج شركات الأمن إلى مشاركة معلومات التهديدات، وإنشاء قاعدة بيانات لسمات الإضافات الخبيثة. يمكن لمشاريع البلوكتشين النظر في إضافة وظيفة وضع علامات على المعاملات على مستوى البروتوكول، مما يسمح للمستخدمين بإدراج العناوين المشتبه بها في القائمة السوداء.

من منظور تنظيمي، قد تعزز الدول متطلبات الرقابة على تطبيقات المحافظ الرقمية، بما في ذلك التدقيق الإجباري للكود، والتحقق من هوية المطورين، وضمانات التأمين. لقد وضعت لائحة MiCA الخاصة بالاتحاد الأوروبي متطلبات أساسية لمزودي المحافظ، لكن تفاصيل التنفيذ لا تزال بحاجة إلى تحسين. على المدى الطويل، يحتاج القطاع إلى إنشاء آليات مشابهة للكشف عن الاحتيال واسترداد الأموال كما هو الحال في التمويل التقليدي، على الرغم من أن هذا يتعارض مع الخصائص اللامركزية للأصول الرقمية.

آفاق الأمان

عندما يبدأ المهاجمون في استخدام البلوكتشين نفسه كوسيلة للهجوم، وعندما تصبح المعاملات الصغيرة قناة لتسرب البيانات، فإننا نواجه ليس فقط تحديات تقنية، بل تجديدًا فكريًا. إن الرعب من هذه الطريقة الجديدة للهجوم لا يكمن في تعقيدها، بل في أنها تقوض مفهوم “أن معاملات البلوكتشين آمنة”. على الطريق نحو التيار الرئيسي في عالم التشفير، تظل الأمان هي الحلقة الأضعف - تذكرنا حادثة “Safery” اليوم أنه بينما نثق في الكود، نحتاج بشكل أكبر إلى إنشاء آلية تحقق منهجية. فبعد كل شيء، في عالم الأصول الرقمية، الأمان ليس وظيفة، بل هو الأساس.