مفاجأة العطلة: كشف هجوم التصيد "سنة سعيدة" المزيف لـMetaMask، كيف تم تفريغ مئات المحافظ؟

معهد أبحاث الأمان المعروف ZachXBT كشف مؤخراً أن هجوماً تصيدياً استهدف مستخدمي محفظة MetaMask أدى إلى تلف مئات المحافظ، مع خسائر إجمالية تجاوزت 10.7 ألف دولار وما زالت مستمرة في الارتفاع. استغل المهاجمون عطلة رأس السنة الجديدة، وتظاهروا بإرسال رسائل تصيد رسمية تحمل عنوان “ترقية إجبارية”، لإغراء المستخدمين بتوقيع عقود خبيثة لمنح الأذونات.

تُبرز هذه الحادثة، جنباً إلى جنب مع ثغرة ملحق متصفح Trust Wallet التي سرقت على الأقل 850万美元 مؤخراً، مرة أخرى هشاشة أمن المستخدمين في عالم التشفير. ستقوم هذه المقالة بتحليل عميق لأساليب الهجوم، وتقديم إرشادات فورية للتعامل الطارئ، وبناء نظام دفاعي متقدم للمستقبل.

الصورة الكاملة للهجوم: الصيد الدقيق خلال العطلات

مع بداية العام، حين يكون المطورون وفرق الدعم في إجازة، ويكون التشغيل بأقل عدد من الموظفين، بدأ هجوم منسق على محافظ العملات المشفرة بشكل سري. رصد ZachXBT على السلسلة أن مئات عناوين المحافظ عبر عدة شبكات متوافقة مع EVM تتعرض لسرقة مستمرة لأصولها بشكل متفرق وصغير. عادةً، يكون خسارة كل ضحية أقل من 2000 دولار، وتُجمع الأموال المسروقة في عنوان مشبوه واحد. حتى وقت النشر، تجاوز إجمالي المبلغ المسروق 10.7 ألف دولار، وما زال في تزايد.

على الرغم من أن السبب الجذري للهجوم لا يزال قيد التحقيق، إلا أن تقارير المستخدمين كشفت عن مدخل الهجوم: رسالة تصيد مزيفة تُظهر أنها من MetaMask وتطلب “تحديثاً إلزامياً”. الرسالة مصممة بشكل متقن، وتستخدم شعار الثعلب المميز لـ MetaMask، وتضع قبعة حفلة، مع عنوان موضوع يقول “سنة جديدة سعيدة!”، مستغلة أجواء العطلة لتقليل حذر المستخدمين. اختار المهاجمون استغلال هذه الفترة، لأنها تمثل نافذة زمنية قصيرة من التردد والتراخي في اليقظة.

نمط السرقة “بالنقاط الصغيرة” هذا استراتيجي للغاية. يشير بشكل قوي إلى أن المهاجمين، في كثير من الحالات، لا يسرقون كلمات الاسترداد (Seed Phrase) بشكل كامل، بل يستغلون إذن العقود الخبيثة التي سبق أن وقع عليها المستخدمون. بشكل افتراضي، غالباً ما تكون حدود تفويض الرموز “غير محدودة”، لكن المهاجمين لا يفرغون المحافظ دفعة واحدة، بل يسيطرون على مبالغ صغيرة في كل عملية سرقة. هذا الأسلوب يمنع تنبه الضحايا بسرعة، ويتيح تكرار الهجمات على مئات المحافظ، مما يؤدي في النهاية إلى تراكم مبالغ كبيرة.

ZachXBT يكشف البيانات الرئيسية للحادثة التصيدية

مدة الهجوم: خلال عطلة رأس السنة، الفترة الدقيقة قيد التأكيد

عدد المحافظ المتأثرة: مئات (العدد يتزايد باستمرار)

متوسط خسارة كل محفظة: عادة أقل من 2000 دولار

الخسائر المؤكدة إجمالاً: أكثر من 10.7 ألف دولار

الشبكات المعنية: عدة شبكات متوافقة مع EVM (مثل إيثريوم، Polygon، Arbitrum وغيرها)

أسلوب الهجوم: رسائل تصيد تدعو لتوقيع إذن لعقد خبيث

تحليل الثغرات الأربعة في رسائل التصيد “الفعالة”

لماذا ينجح هذا الأسلوب مع العديد من المستخدمين ذوي الخبرة في التشفير؟ تعتبر رسالة التصيد التي تتعلق بـ MetaMask مثالاً “تعليميًا” في الهندسة الاجتماعية، وتكشف نجاحها عن نقاط ضعف شائعة في عادات أمان المستخدمين العاديين. ومع ذلك، مهما كانت درجة التمويه، فإن هذه الهجمات تظهر دائماً بعض الثغرات في التفاصيل. التعرف على الإشارات الأربعة التالية يمكن أن يمنع الخسائر قبل وقوعها.

أولاً، والأكثر وضوحاً، هو “عدم تطابق العلامة التجارية والمرسل بشكل خطير”. في هذه الحالة، يظهر المرسل باسم “MetaLiveChain” — اسم يبدو مرتبطاً بالتمويل اللامركزي (DeFi)، لكنه في الواقع غير مرتبط بـ MetaMask على الإطلاق. هذا غالباً دليل مباشر على أن المهاجمين استعاروا قالب رسالة تسويقية شرعية. حتى أن رأس البريد الإلكتروني يحتوي على رابط إلغاء الاشتراك “reviews@yotpo .com”، مما يكشف عن طبيعته كرسالة مزعجة.

ثانياً، “إحساس زائف بالعجلة” هو أسلوب تصيد كلاسيكي. تؤكد الرسالة أن التحديث “إجباري”، وتطلب من المستخدمين التفاعل فوراً، وإلا قد يتأثر استخدام المحفظة. هذا يتعارض مع إرشادات الأمان الرسمية لـ MetaMask، التي تؤكد أن الشركة “لن تطلب أبداً” من المستخدمين التحقق أو التحديث عبر رسائل غير مطلوبة. أي طلب تحديث عاجل من جهة رسمية يجب أن يُعتبر علامة حمراء على الفور.

الثالث هو “روابط مضللة”. الأزرار أو الروابط في الرسالة غالباً ما تظهر نصوصاً مثل “تحديث الآن”، لكن النطاق الذي تشير إليه غالباً لا يتطابق مع اسم المؤسسة المزعوم. قبل النقر، يمكن للمستخدمين وضع مؤشر الماوس على الرابط (على سطح المكتب) لعرض عنوان URL الحقيقي. أي رابط غير metamask.io أو أحد النطاقات الفرعية الرسمية يجب أن يثير الشك.

الرابع، وهو الخط الأحمر النهائي، هو “طلب معلومات حساسة أو أذونات”. MetaMask وأي ممثل رسمي لن يطلب أبداً عبر البريد أو الرسائل أو الهاتف كلمات الاسترداد السرية (Secret Recovery Phrase). كذلك، طلب توقيع رسالة خارجية (off-chain message) أو معاملة غير واضحة المحتوى أو الهدف، غالباً ما يكون فخاً. في حادثة ZachXBT، من المحتمل أن يكون الضحايا بعد النقر على الرابط قد وقعوا على إذن عقد رمزي خبيث، مما يفتح الباب أمام سرقة الأصول.

إرشادات التعامل الطارئ: إلغاء الأذونات وتقليل حجم الخسائر

عند إدراك أنك ربما نقرت على رابط تصيد أو وقعت على إذن مشبوه، لا داعي للذعر، بل يجب التصرف بسرعة للحد من الخسائر. المهمة الأولى هي “قطع وصول المهاجم”. لحسن الحظ، توجد أدوات متعددة تتيح إدارة وإلغاء الأذونات بسهولة.

لمستخدمي MetaMask، يمكن الآن عرض وإدارة جميع الأذونات عبر واجهة Portfolio. بالإضافة إلى ذلك، توفر مواقع متخصصة مثل Revoke.cash عملية بسيطة جداً: قم بتوصيل محفظتك، واختر الشبكة، وستظهر لك قائمة واضحة بجميع الأذونات الممنوحة لعقود ذكية. يمكن للمستخدم مراجعة كل واحدة وإرسال عملية “إلغاء” (Revoke) لأي عقد غير موثوق أو لم تعد تستخدمه. كما توفر متصفحات مثل Etherscan صفحة لإدارة أذونات الرموز، تتيح إلغاء إذن ERC-20، ERC-721 وغيرها من الرموز يدوياً. التصرف بسرعة هو المفتاح، قبل أن يفرغ المهاجمون المحفظة، مما قد يحفظ بقية الأصول.

لكن، اتخاذ الإجراءات الصحيحة يعتمد على تقييم دقيق لمدى الاختراق. هناك فرق جوهري بين: “سرقة إذن العقد” و"تسريب كامل لكلمات الاسترداد". إذا كانت الحالة الأولى، فالمهاجم يملك فقط صلاحية نقل رموز معينة، وإلغاء الأذونات بسرعة يمكن أن يحفظ السيطرة على المحفظة، ويجب تعزيز الإجراءات الأمنية للاستمرار في الاستخدام. أما إذا كانت الحالة الثانية، فهذا يعني أن المهاجم يسيطر تماماً على محفظتك، وأي عملية (بما في ذلك إلغاء الأذونات) قد تُعترض أو تُسرق مجدداً.

توضح إرشادات الأمان الرسمية لـ MetaMask أن: “إذا شككت في أن كلمات الاسترداد قد تسربت، توقف عن استخدام المحفظة فوراً.” يجب إنشاء محفظة جديدة على جهاز نظيف وخالٍ من الفيروسات، ونقل جميع الأصول غير المسروقة إليها. ويجب اعتبار كلمة الاسترداد القديمة بمثابة “حرق دائم”، وعدم استخدامها أبداً في أي مكان آخر. هذا القرار الحاسم هو الحل الوحيد لمواجهة أسوأ الحالات.

بناء نظام دفاع عميق: من الحماية الأحادية إلى منظومة أمنية متكاملة

سواء كان هجوم التصيد هذا، أو ثغرة ملحق Trust Wallet التي سرقت 850 مليون دولار، فإن النتيجة واحدة: الاعتماد على تدابير حماية واحدة هو مخاطرة كبيرة. لمواجهة تهديدات تتطور باستمرار، يجب على المستخدمين العاديين بناء “نظام دفاع عميق” (Defense-in-Depth)، من خلال وضع حواجز متعددة، وتقليل حجم الخسائر المحتملة.

الطبقة الأولى: إعدادات المحفظة والعادات اليومية. يدمج مزودو المحافظ حالياً ميزات أمان متقدمة. على سبيل المثال، يشجع MetaMask المستخدمين على تعيين حدود إنفاق يدوية عند التفويض، بدلاً من الاختيار الافتراضي “غير محدود”. كما يُنصح بمراجعة وإلغاء الأذونات القديمة بشكل دوري، وجعل ذلك جزءاً من إجراءات الأمان اليومية، تماماً كاستخدام محفظة الأجهزة. خاصية Blockaid في MetaMask، التي تظهر تحذيرات أمنية قبل توقيع معاملات مشبوهة، تُعد خط دفاع مهم يُغفل عنه كثيرون.

الطبقة الثانية: تصنيف الأصول وعزل المحافظ. من أنجح الطرق لمواجهة الاختراقات. يُنصح باستخدام نموذج “محفظة باردة - دافئة - حارة”:

• محفظة باردة (تخزين طويل الأمد): باستخدام محافظ أجهزة (مثل Ledger، Trezor) لتخزين الأصول الأساسية والكبيرة.
• محفظة دافئة (للعمليات اليومية): على الهاتف أو الكمبيوتر، باستخدام محافظ برمجية (مثل MetaMask) لعمليات التداول، والإيداع، والاقتراض.
• محفظة حارة (للتجارب): لإنشاء محفظة “مُحترقة” للتفاعل مع بروتوكولات DeFi غير الموثوقة أو مشاريع NFT جديدة.

هذه الطريقة تزيد من إدارة المخاطر، وتُعد “الاحتكاك” جزءاً أساسياً من الأمان. هجوم تصيدي ناجح، إذا استهدف فقط “المحفظة المُحترقة”، قد يكون خسائره بآلاف الدولارات فقط. لكن، إذا استهدف محفظة برمجية واحدة تحتوي على كل الأصول، فالتكلفة ستكون كارثية.

الطبقة الثالثة: التعليم المستمر وتطوير العقلية. غالباً يُلقى اللوم على نقص وعي المستخدمين، لكن بيانات Chainalysis تظهر أن حوالي 15.8 ألف حادثة سرقة لمحافظ شخصية حدثت في 2025، وأثرت على أكثر من 8 آلاف شخص. هذا يدل على أن سرعة تطور المهاجمين تتجاوز غالباً سرعة تعلم المستخدمين. لذلك، يجب أن تتبنى عقلية “الشك المستمر”: عدم الثقة في أي معلومات غير مطلوبة من مزود الخدمة، واعتبار جميع أذونات العقود محفوفة بالمخاطر، إلا إذا كنت تفهمها تماماً وتثق بها. ويجب أن تدرك أن سهولة الاستخدام في العملات المشفرة، بحد ذاتها، تمثل نقطة هجوم محتملة.

كشف ZachXBT أن أدوات سرقة العنوان ستفشل يوماً ما بسبب تصنيف العناوين، وتجميد ودائعها من قبل البورصات المركزية. لكن، في الأسبوع القادم، ستظهر أدوات سرقة جديدة، مع نماذج معدلة وعناوين عقود مختلفة. في هذا السباق المستمر بين الهجوم والدفاع، الخيار الحقيقي للمستخدم ليس بين الأمان والسهولة، بل بين “إدارة الأمان بشكل نشط الآن” و**“معاناة خسارة الأصول في المستقبل”**. بناء وتنفيذ نظام دفاع عميق هو الخيار الأول، ويمكّنك من السيطرة الكاملة على أصولك.