كشف باحثو الأمن في Check Point Research عن تطبيق مزيف يحمل اسم WalletConnect تم استخدامه من قبل المهاجمين، حيث تمت خلطه مع بروتوكول WalletConnect الشرعي المخصص لمحفظة العملات المشفرة. وقد كان شعار التطبيق المزيف مطابقًا تمامًا لشعار البروتوكول الحقيقي، مما جعل الضحايا يثقون به بشكل أكبر.
استغل المهاجمون نقاط الضعف في بروتوكول WalletConnect الشرعي، حيث قاموا بتسويق التطبيق المزيف كحل لمشكلات حقيقية تتعلق بعدم توفر دعم عالمي من قبل محافظ التشفير الشهيرة. ولأن البروتوكول المفتوح المصدر لم يكن له تطبيق رسمي في متجر Play، تمكن أكثر من عشرة آلاف شخص من تثبيت التطبيق المخادع.
على الرغم من أن عدد الضحايا كان محدودًا، إلا أن Check Point Research اكتشفت أكثر من 150 عنوانًا مرتبطًا بمعاملات تم التحقق منها، مما يدل على أن هذا العدد من الأشخاص تعرضوا للاحتيال. وقد تم إطلاق التطبيق في مارس، وظل متاحًا لمدة خمسة أشهر قبل أن تتم إزالته من متجر Play بواسطة جوجل، لكن ليس قبل أن يسرق المهاجمون 70 ألف دولار من العملات المشفرة من المستخدمين الذين قاموا بتثبيت WalletConnect.
بعد تثبيت التطبيق، كان على المستخدمين ربط محافظهم الخاصة بالعملات المشفرة، معتقدين أنهم يتعاملون مع تطبيق موثوق. ومن خلال هذا الربط، كان يمكنهم الوصول إلى تطبيقات web3 المدعومة، والتي تمثل الجيل الجديد من الإنترنت المبني على تقنية blockchain ويدار بواسطة المجتمع.
عقب التثبيت، طُلب من المستخدمين اختيار محفظة تشفير جديدة يُفترض أنها تدعم بروتوكول WalletConnect. في هذه المرحلة، تعرض الضحايا لضغوط لتفويض معاملات معينة، مما أدى بهم إلى موقع ويب ضار.
عمل هذا الموقع على حذف جميع المعلومات المتعلقة بمحافظ الضحايا، وباستخدام العقود الذكية، تمكن المهاجمون من تحويل الرموز من محافظ الضحايا إلى محافظهم، حتى أنهم استطاعوا نقل عملات مشفرة أكثر قيمة عبر أنواع أقل قيمة.
ويُعتبر هذا الاحتيال بمثابة أول هجمة تستهدف مستخدمي الأجهزة المحمولة بشكل حصري. ومن المثير للاهتمام أن عددًا قليلًا فقط من الضحايا، يبلغ نحو عشرين شخصًا، اختاروا كتابة مراجعات سلبية حول التطبيق في متجر Play، مما سمح للمجرمين بنشر مراجعات إيجابية تغطي على السلبية.
إرسال تعليق