مئات من محافظ MetaMask تم استنزافها: ما يجب التحقق منه قبل "التحديث"

أبلغ باحث الأمن على السلسلة ZachXBT عن تصفية مئات المحافظ عبر سلاسل EVM متعددة بمبالغ صغيرة، عادة أقل من 2,000 دولار لكل ضحية، تتدفق إلى عنوان واحد مشبوه.

تجاوز إجمالي السرقة 107,000 دولار واستمر في الارتفاع. السبب الجذري لا يزال غير معروف، لكن المستخدمين أبلغوا عن تلقي بريد إلكتروني للاحتيال الإلكتروني متنكراً في شكل ترقية إلزامية لـ MetaMask، مكتمل بشعار الثعلب بقبعة حفلة وسطر موضوع "سنة جديدة سعيدة!".

وصل هذا الهجوم عندما كان المطورون في عطلة، وكانت قنوات الدعم تعمل بأطقم محدودة، وكان المستخدمون يتصفحون صناديق البريد الوارد المزدحمة بعروض العام الجديد.

يستغل المهاجمون تلك النافذة. تشير المبالغ الصغيرة لكل ضحية إلى أن المُصفّي يعمل من خلال الموافقات على العقود بدلاً من اختراق عبارة البذور الكامل في كثير من الحالات، مما يبقي الخسائر الفردية أقل من العتبة التي يطلق فيها الضحايا التنبيهات فوراً ولكنه يسمح للمهاجم بالتوسع عبر مئات المحافظ.

لا تزال الصناعة تعالج حادثة منفصلة لإضافة متصفح Trust Wallet حيث حصد الكود الخبيث في إضافة Chrome الإصدار 2.68 المفاتيح الخاصة وصفّى ما لا يقل عن 8.5 مليون دولار من 2,520 محفظة قبل أن تقوم Trust Wallet بالتحديث إلى الإصدار 2.69.

استغلالان مختلفان، نفس الدرس: نقاط نهاية المستخدم تظل الحلقة الأضعف.

تشريح رسالة بريد إلكتروني احتيالية تعمل

يوضح البريد الإلكتروني للاحتيال الإلكتروني بنمط MetaMask سبب نجاح هذه الهجمات.

تُظهر هوية المرسل "MetaLiveChain"، وهو اسم يبدو غامضاً ومرتبطاً بـ DeFi لكن ليس له علاقة بـ MetaMask.

يحتوي رأس البريد الإلكتروني على رابط إلغاء الاشتراك لـ "reviews@yotpo.com"، مما يكشف أن المهاجم رفع قوالب من حملات تسويقية شرعية. يعرض المحتوى شعار ثعلب MetaMask يرتدي قبعة حفلة، يمزج بهجة الموسم مع إلحاح مفتعل حول "تحديث إلزامي".

يتجاوز هذا المزيج الاستدلالات التي يطبقها معظم المستخدمين على عمليات الاحتيال الواضحة.

البريد الإلكتروني للاحتيال الإلكتروني ينتحل شخصية MetaMask بشعار ثعلب بقبعة حفلة، مدعياً زوراً أن ترقية نظام 2026 "إلزامية" مطلوبة للوصول إلى الحساب.

تضع وثائق الأمان الرسمية لـ MetaMask قواعد واضحة. تأتي رسائل الدعم الإلكترونية فقط من عناوين موثقة، مثل support@metamask.io، ولا تأتي أبداً من نطاقات طرف ثالث.

لا يرسل مزود محفظة رسائل بريد إلكتروني غير مرغوب فيها تطالب بالتحقق أو الترقيات.

بالإضافة إلى ذلك، لن يطلب أي ممثل أبداً عبارة الاسترداد السرية. ومع ذلك، تعمل هذه الرسائل الإلكترونية لأنها تستغل الفجوة بين ما يعرفه المستخدمون فكرياً وما يفعلونه بشكل انعكاسي عندما تصل رسالة تبدو رسمية.

أربع إشارات تكشف الاحتيال الإلكتروني قبل حدوث الضرر.

أولاً، عدم تطابق العلامة التجارية والمرسل، حيث أن علامة MetaMask التجارية من "MetaLiveChain" تشير إلى سرقة القالب. ثانياً، الإلحاح المصطنع حول التحديثات الإلزامية التي يقول MetaMask صراحةً إنه لن يرسلها.

ثالثاً، عناوين URL الوجهة التي لا تتطابق مع النطاقات المدعاة، التمرير قبل النقر يكشف الهدف الفعلي. رابعاً، الطلبات التي تنتهك قواعد محفظة الأساسية، مثل طلب عبارة البذور أو المطالبة بتوقيعات على رسائل خارج السلسلة غامضة.

توضح حالة ZachXBT آليات الاحتيال الإلكتروني بالتوقيع. من المحتمل أن الضحايا الذين نقروا على رابط الترقية المزيف وقّعوا موافقة على عقد تمنح المُصفّي إذناً لنقل التوكنات.

فتح ذلك التوقيع الواحد الباب أمام السرقة المستمرة عبر سلاسل متعددة. اختار المهاجم مبالغ صغيرة لكل محفظة لأن موافقات العقود غالباً ما تحمل حدود إنفاق غير محدودة افتراضياً، لكن تصفية كل شيء سيؤدي إلى تحقيقات فورية.

ينزلق نشر السرقة عبر مئات الضحايا بـ 2,000 دولار لكل منهم تحت الرادار الفردي بينما يتراكم إجماليات من ستة أرقام.

إلغاء الموافقات وتقليص نطاق التأثير

بمجرد النقر على رابط احتيال إلكتروني أو التوقيع على موافقة خبيثة، تتحول الأولوية إلى الاحتواء. يتيح MetaMask الآن للمستخدمين عرض وإلغاء مخصصات توكن مباشرة داخل محفظة MetaMask.

يرشد Revoke.cash المستخدمين خلال عملية بسيطة: ربط محفظتك، فحص الموافقات لكل شبكة، وإرسال معاملات إلغاء للعقود غير الموثوقة.

تقدم صفحة Token Approvals في Etherscan نفس الوظيفة للإلغاء اليدوي لموافقات ERC-20 و ERC-721 و ERC-1155. تهم هذه الأدوات لأن الضحايا الذين يتصرفون بسرعة يمكنهم قطع وصول المُصفّي قبل فقدان كل شيء.

التمييز بين اختراق الموافقة واختراق عبارة البذور يحدد ما إذا كان يمكن إنقاذ محفظة. يرسم دليل أمان MetaMask خطاً واضحاً: إذا كنت تشك في أن عبارة الاسترداد السرية الخاصة بك قد تم الكشف عنها، توقف عن استخدام تلك محفظة فوراً.

أنشئ محفظة جديدة على جهاز جديد، انقل الأصول المتبقية، وتعامل مع البذرة الأصلية على أنها محروقة بشكل دائم. يساعد إلغاء الموافقات عندما يحمل المهاجم أذونات العقد فقط؛ إذا ذهبت بذرتك، يجب التخلي عن محفظة بالكامل.

وثقت Chainalysis حوالي 158,000 اختراق محفظة شخصية تؤثر على 80,000 شخص على الأقل في عام 2025، حتى مع انخفاض إجمالي القيمة المسروقة إلى حوالي 713 مليون دولار.

ارتفعت خسائر محفظة الشخصية كحصة من إجمالي سرقة الكريبتو من حوالي 10% في عام 2022 إلى ما يقرب من 25% في عام 2025، وفقاً لبيانات Chainalysis.

يضرب المهاجمون محافظ أكثر بمبالغ أصغر، النمط الذي حدده ZachXBT. الأثر العملي: تنظيم المحافظ للحد من نطاق التأثير يهم بقدر تجنب الاحتيال الإلكتروني.

يجب ألا تعني محفظة واحدة مخترقة خسارة المحفظة الإجمالية.

بناء دفاع متعمق

قدمت مزودات محفظة ميزات كانت ستحتوي على هذا الهجوم إذا تم اعتمادها.

يشجع MetaMask الآن على تحديد حدود الإنفاق على موافقات توكن بدلاً من قبول أذونات "غير محدودة" الافتراضية. يدافع Revoke.cash ولوحة Shield من De.Fi عن معاملة مراجعات الموافقة كنظافة روتينية إلى جانب استخدام محفظة الأجهزة للحيازات طويلة الأجل.

يُمكّن MetaMask تنبيهات أمان المعاملات من Blockaid افتراضياً، ووضع علامة على العقود المشبوهة قبل تنفيذ التوقيعات.

تعزز حادثة إضافة Trust Wallet الحاجة إلى دفاع متعمق. تجاوز ذلك الاستغلال قرارات المستخدم، وحصد الكود الخبيث في قائمة Chrome الرسمية المفاتيح تلقائياً.

المستخدمون الذين فصلوا الحيازات عبر محافظ الأجهزة (التخزين البارد)، ومحافظ البرامج (المعاملات الدافئة)، ومحافظ مؤقتة (البروتوكولات التجريبية) حدّدوا التعرض.

يخلق نموذج المستويات الثلاثة احتكاكاً، لكن الاحتكاك هو النقطة. بريد إلكتروني احتيالي يلتقط محفظة مؤقتة يكلف مئات أو بضعة آلاف من الدولارات. نفس الهجوم ضد محفظة واحدة تحمل محفظة بأكملها يكلف أموالاً تغير الحياة.

نجح مُصفّي ZachXBT لأنه استهدف التماس بين الراحة والأمن. يحتفظ معظم المستخدمين بكل شيء في مثيل MetaMask واحد لأن إدارة محافظ متعددة تبدو مرهقة.

راهن المهاجم على أن بريداً إلكترونياً احترافي المظهر في يوم رأس السنة الجديدة سيمسك عدداً كافياً من الناس على حين غرة لتوليد حجم مربح. نجح ذلك الرهان، مع 107,000 دولار وما زال العد مستمراً.

يحدد التوجيه الرسمي لـ MetaMask ثلاث علامات حمراء للاحتيال الإلكتروني: عناوين مرسل خاطئة، ومطالب ترقية عاجلة غير مرغوب فيها، وطلبات عبارة الاسترداد السرية أو كلمات المرور.

ما على المحك

تطرح هذه الحادثة سؤالاً أعمق: من يتحمل المسؤولية عن أمن نقطة النهاية في عالم الحفظ الذاتي؟

يبني مزودو محفظة أدوات مكافحة الاحتيال الإلكتروني، وينشر الباحثون تقارير التهديدات، ويحذر المنظمون المستهلكين. ومع ذلك، احتاج المهاجم فقط إلى بريد إلكتروني مزيف وشعار مستنسخ وعقد مُصفٍّ لاختراق مئات المحافظ.

البنية التحتية التي تمكّن الحفظ الذاتي والمعاملات بدون إذن والعناوين المستعارة والتحويلات غير القابلة للإلغاء تجعله أيضاً غير متسامح.

تعامل الصناعة هذا كمشكلة تعليمية: إذا تحقق المستخدمون من عناوين المرسل، ومرّروا فوق الروابط، وألغوا الموافقات القديمة، ستفشل الهجمات.

ومع ذلك، تشير بيانات Chainalysis حول 158,000 اختراق إلى أن التعليم وحده لا يكفي. يتكيف المهاجمون أسرع مما يتعلم المستخدمون. تطور البريد الإلكتروني للاحتيال الإلكتروني لـ MetaMask من قوالب خام "محفظتك مقفلة!" إلى حملات موسمية مصقولة.

أثبت استغلال إضافة Trust Wallet أنه حتى المستخدمين الحذرين يمكنهم فقدان الأموال إذا تم اختراق قنوات التوزيع.

ما يعمل: محافظ الأجهزة للحيازات ذات المغزى، إلغاء الموافقة بلا رحمة، فصل محفظة حسب ملف المخاطر، والشك تجاه أي رسالة غير مرغوب فيها من مزودي محفظة.

ما لا يعمل: افتراض أن واجهات محفظة آمنة افتراضياً، معاملة الموافقات كقرارات لمرة واحدة، أو توحيد جميع الأصول في المحفظة الساخنة واحدة من أجل الراحة. سيتم إغلاق مُصفّي ZachXBT لأن العنوان موضوع عليه علامة، وستجمد البورصات الإيداعات.

لكن سيتم إطلاق مُصفٍّ آخر الأسبوع المقبل مع قالب مختلف قليلاً وعنوان عقد جديد.

تستمر الدورة حتى يستوعب المستخدمون أن راحة الكريبتو تخلق سطح هجوم يتم استغلاله في النهاية. الخيار ليس بين الأمن وسهولة الاستخدام، بل بين الاحتكاك الآن والخسارة لاحقاً.

ظهرت المشاركة مئات من محافظ MetaMask تم تصفيتها: ما يجب التحقق منه قبل "التحديث" أولاً على CryptoSlate.