خدعة تحديث محفظة بيتكوين تجمع 22 مليون دولار

ساعدت تقنية بسيطة عصابات الجرائم الإلكترونية على سرقة أكثر من 22 مليون دولار من أموال مستخدمي تطبيق محفظة بيتكوين إلكتروم (Electrum).

وشوهد هذا الأسلوب لأول مرة في شهر ديسمبر 2018، وأُعيد منذ ذلك الحين استخدام نمط الهجوم هذا في حملات متعددة على مدار العامين الماضيين.

وتتبعت التحقيقات حسابات بيتكوين متعددة، حيث قام المجرمون بجمع الأموال المسروقة من الهجمات التي قاموا بها على مدار عامي 2019 و 2020، مع حدوث بعض الهجمات في شهر سبتمبر 2020.

وتكشف التقارير الواردة من الضحايا المقدمة إلى بوابات إساءة استخدام بيتكوين المعلومات نفسها.

وتلقى مستخدمو تطبيق محفظة بيتكوين إلكتروم (Electrum) طلب تحديث غير متوقع عبر رسالة منبثقة، وقاموا بتحديث محفظتهم، وسرقت الأموال بشكل فوري، وأُرسلت إلى حساب بيتكوين للمهاجم.

وبالنظر إلى كيفية قيام مجرمي الإنترنت بسرقة الأموال، فإن هذه الخدعة تعمل بسبب طريقة العمل الداخلية لتطبيق محفظة بيتكوين إلكتروم والبنية التحتية الخلفية الخاصة به.

وجرى تصميم محافظ إلكتروم للاتصال بالبلوك تشين من خلال شبكة من خوادم إلكتروم المعروفة باسم (ElectrumX).

وتتحكم بعض تطبيقات المحفظة بمن يمكنه إدارة هذه الخوادم، لكن تختلف الأمور في النظام البيئي المفتوح في إلكتروم، حيث يمكن للجميع إعداد خادم لبوابة (ElectrumX).

وكانت عصابات الجرائم الإلكترونية تسيء استخدام هذه الثغرة منذ عام 2018 وتنتظر حتى يتصل المستخدمون بشكل عشوائي بأنظمتهم.

ويوجه المهاجمون الخادم لإظهار نافذة منبثقة على شاشة المستخدم لإرشاده من أجل تثبيت تحديث محفظة بيتكوين إلكتروم.

وأبلغ المستخدمون منذ شهر ديسمبر 2018 عن استخدام نحو عشرة حسابات بيتكوين في ما يُعرف حاليًا باسم خدعة تحديث محفظة بيتكوين إلكتروم.

وتحتوي هذه المحافظ حاليًا على 1980 عملة بيتكوين، تزيد قيمتها قليلاً عن 22 مليون دولار.

ويبدو أن جزءًا كبيرًا من هذه الأموال قد سُرق في حادثة واحدة في شهر أغسطس، عندما أبلغ أحد المستخدمين عن خسارة 1400 بيتكوين – نحو 15.8 مليون دولار – بعد تحديث محفظة بيتكوين إلكتروم.

واتخذ فريق إلكتروم (Electrum) عدة خطوات للتخفيف من هذا الهجوم منذ ظهور هذه التقنية لأول مرة في أواخر عام 2018.

وطبق الفريق نظام القائمة السوداء للخادم؛ لمنع الإضافات الضارة من الوصول إلى الشبكة، كما أضافوا تحديثًا يمنع الخوادم من إظهار النوافذ المنبثقة بتنسيق (HTML) للمستخدمين.

ولا يزال الهجوم يعمل بالنسبة لمستخدمي بيتكوين الذين ما زالوا يستخدمون الإصدارات القديمة من تطبيق محفظة بيتكوين إلكتروم لإدارة الأموال.