الحوادث الأمنية

تم إصدار نسختين خبيثتين من Axios npm، مما أدى إلى إصدار تحذيرات للمطورين بضرورة إعادة تدوير بيانات الاعتماد ومعاملة الأنظمة المتأثرة على أنها مخترقة، بعد أن سمحت سلسلة التوريد الملوثة بهجوم سمم مكتبة JavaScript الشهيرة لعميل HTTP. تم الإبلاغ عن الاختراق لأول مرة من قبل شركة الأمن السيبراني Socket، التي قالت

سنغافورة تأمر بوقف النزاع المتعلق بعملية اختراق Resupply ضمن حرب التشهير ضد العملات المشفرة طلبت محكمة في سنغافورة من مؤسس OneKey، وانغ ليي، وكذلك أحد مستخدمي X، إنهاء الاتهامات ذات الطابع التهديدي والتشهيري الموجهة إلى أحد المتعاونين المرتبطين بـ Curve، بعد نزاع

تحذر Google Quantum AI من أن تشفير منحنيات إهليلجية بعرض 256 بت يمكن أن يصبح مُعرضًا للخطر خلال دقائق باستخدام أقل من 500,000 كيوبت، مُحثّة صناعة العملات المشفرة على اعتماد التشفير ما بعد الكمي بسرعة لتعزيز الأمان.

تُحذّر Google من أن التطورات في الحوسبة الكمّية قد تؤدي إلى تعريض أمن العملات الرقمية للخطر في وقتٍ أقرب مما كان متوقعًا، ما يدفع بالمحللين إلى الدعوة لِمستويات مناسبة من درجة الاستعجال.

أخبار البوابة، 31 مارس، أفاد المحققون على السلسلة ZachXBT أن مستخدمًا على إحدى منصات CEX يشتبه أنه تعرض لهجوم هندسة اجتماعية، وأن الخسائر تبلغ حوالي 18.20 مليون دولار. بدأ المهاجمون نشاطهم قبل حوالي 45 دقيقة، باستخدام محفظة SafePal، لنقل الأصول من شبكة Ethereum عبر بروتوكول عبر السلاسل اللامركزي THORChain إلى شبكة Bitcoin.

قوة الحوسبة الكمّية المطلوبة لكسر التشفير الذي يؤمّن سلاسل الكتل ما زالت تنخفض، على الأقل من الناحية النظرية، ما يثير التساؤل عمّا إذا كانت الصناعة قادرة على الانتقال إلى منصّات مقاومة للتهديدات الكمّية قبل أن تصبح عرضة للخطر بتكلفة معقولة. بحثٌ جديدٌ من Caltech وqu

فريق Google للذكاء الاصطناعي الكمي ينشر ورقة بحثية، ويشير إلى أن الموارد الكمية المطلوبة لكسر تشفيرات منحنيات القطع الناقص أقل من المتوقع، ويقترح حلّين لدارات كمية، ويُنصح مجتمع العملات المشفّرة بالانتقال إلى التشفير ما بعد الكمي قبل عام 2029 للتعامل مع التهديدات المحتملة.

تشير أبحاث شركة أمان البلوك تشين Fuzzland إلى أن حزمة npm لأداة برمجة الذكاء الاصطناعي Claude Code التابعة لشركة Anthropic تحتوي على ملفات source map كاملة، مما أدى إلى تسريب كود 1,906 ملف مصدر. وعلى الرغم من أنه تم حذف ملفات مماثلة في الماضي، فإن النسخة الجديدة لا تزال تتضمن هذه المشكلة، مما يؤدي إلى تعرّض البنية الداخلية وآليات الأمان. هذا التسريب لا يتضمن بيانات المستخدمين، لكنه يؤثر على الأمان.

أشار بحث فريق Google للذكاء الاصطناعي والكمّ إلى أن قدرات الحوسبة الكمّية المطلوبة لكسر عملة البيتكوين أقل بكثير من المتوقع، وقد تكون أقل من 500 ألف بت كمّ. تُظهر عمليات المحاكاة أن بإمكان المهاجمين اعتراض معاملات البيتكوين الجارية خلال 9 دقائق، وأن نحو ثلث البيتكوين يتم تخزينه في محافظ تم الكشف عنها بالفعل، ما يزيد من مخاطر الهجمات الكمية. إن ترقية Taproot في البيتكوين، رغم أنها تعزز الخصوصية، إلا أنها تجعل التعرض للمفاتيح العامة يزداد، مما يزيد من مخاطر الأصول.

تم توجيه اتهامات إلى رجل من ولاية ماريلاند باستغلال ثغرات في Uranium Finance، مما أدى إلى خسارة بقيمة 54 مليون دولار. ويزعم المدعون أنه اخترق المنصة، وغسل الأموال عبر مقتنيات عالية القيمة، وقد يواجه عقودًا من السجن.

تعرّضت منصة إدارة مخاطر التمويل اللامركزي DeFi Steakhouse Financial مؤخرًا لهجوم من قِبل قراصنة، حيث تم استخدام نظام الواجهة الأمامية في عملية تصيّد احتيالي (phishing)، لكن لم تتأثر أموال المستخدمين. نشأ الهجوم نتيجةً لهندسة اجتماعية موجّهة إلى مُقدّم خدمة الخوادم، وسيتولى Steakhouse إلغاء التعديلات الخبيثة ونشر تقريرًا عن الحادث. يشير الخبراء إلى ضرورة رفع مستوى الوعي بالأمان لدى المستخدمين والتحذير من مخاطر التصيّد.

تقدّم شركات التشفير Archblock وTrustToken وTrueCoin بطلبات إفلاس، بسبب تعثر Techteryx عن سداد المستحقات والتعرض لعمليات احتيال من قبل جماعة إجرامية في أوروبا الشرقية، مما أدى إلى تضرر مالي جسيم. كما تورطت الشركة في عدة نزاعات قانونية، وتواجه مشكلات ضريبية وخسائر استثمارية عالية المخاطر، مما يكشف عن المخاطر المحتملة في قطاع العملات المستقرة.

فريق الأمان الخاص بـ “مان ووشو” يصدر تحذيرًا، وتم تأكيد أن axios@1.14.1 وaxios@0.30.4 إصدارات خبيثة، حيث تم تضمين حمولة خبيثة يمكن تسليمها عبر نص postinstall. يلزم تقييم تأثيرها على OpenClaw حسب السيناريوهات؛ ويُوصى بأن يقوم المضيفون المتأثرون فورًا بفحص النظام وتدوير بيانات الاعتماد.

أخبار بوابة الأخبار، 31 مارس، أصدر مؤسس شركة SlowMist يو شين يوانغ تحذيرًا أمنيًا يفيد بأن الإصدار الأحدث من OpenClaw 3.28 قد يُدخل حزمة تبعيات axios مصابة بالفيروسات، محذرًا المستخدمين من ضرورة الانتباه والتحقق. وأشار يو شين إلى أنه بالإضافة إلى المخاطر التي يقدمها OpenClaw مباشرةً، فإن Skills ذات الصلة قد تعتمد أيضًا على axios، ما قد يؤدي إلى الإصابة بشكل غير مباشر. وبما أن axios مستخدمة على نطاق واسع، يُنصح بإجراء فحص شامل. ويُقال إن حادث التسميم بالحمولة الضارة تم اكتشافه في الوقت المناسب.

خلال الفترة الأخيرة، شهدت حالات هجمات التصيد الاحتيالي ضد شبكة Pi Network ارتفاعًا ملحوظًا. يرسل المحتالون روابط 2FA وهمية، ويكون الهدف هو المستخدمين الذين أكملوا نقلهم الثاني إلى الشبكة الرئيسية، في محاولة لسرقة عبارة البذور المكونة من 24 كلمة. تتشابه صفحات التصيد هذه مع واجهة الجهة الرسمية، حيث تستغل ثقة المستخدمين في الإجراءات الرسمية للاحتيال عليهم. ينصح الخبراء بأنه إذا قام المستخدم بكشف عبارة البذور، فيجب عليه نقل الأصول فورًا والتوقف عن استخدام المحفظة القديمة لحماية أمان أصوله.

فريق الذكاء الاصطناعي الكمي من Google ينشر ورقة بحثية (بيضاء)، ويطرح خطة جديدة للهجمات الكمية تقلل بشكل كبير من تكلفة كسر تشفير المنحنيات الإهليلجية، ما أدى إلى إثارة حالة من الهلع في قطاع التشفير. تُظهر الأبحاث أن التهديد الذي تمثّله الحوسبة الكمية يقترب بسرعة متزايدة، وأن سلاسل الكتل الرئيسية مثل Bitcoin وEthereum تواجه مخاطر، ويجب على الصناعة التحرك بسرعة لدفع ترقية التشفير المقاوم للهجمات الكمية.

في الآونة الأخيرة، تم اختراق حزمة الحزم الأساسية في npm axios عبر هجوم على سلسلة الإمداد. قام المهاجمون باختراق حساب كبير المُشرفين (maintainer) ونشر نسخة خبيثة تحتوي على أحصنة طروادة متعددة المنصات. وقد تم التخطيط لعملية الهجوم بعناية، بما في ذلك نشر نسخة مُغرية (bait). يجب على المستخدمين المتأثرين التحقق من ملف lockfile والرجوع إلى نسخة أقدم، ثم إعادة بناء النظام لحماية من تسرب الموارد. يُنصح أيضًا مطورو العملات المشفرة وWeb3 بفحص وتحديث بيانات الاعتماد الحساسة واتخاذ إجراءات للت防ي من الهجمات المستقبلية.

تم توجيه اتهامات إلى رجل من ماريلاند، جوناثان سُباليتا، باختراق بورصة العملات اللامركزية يورانيوم فاينانس في عام 2021، مع الاستيلاء على أكثر من 50 مليون دولار. ويواجه تهمًا تتعلق بالاحتيال عبر الكمبيوتر وغسيل الأموال، ويُزعم أنه استخدم العائدات لاقتناء مقتنيات فاخرة.