أكدت منصة Flamingo Finance المالية أنها لم تتأثر بهجمتين حديثتين استهدفتا سلسلة التوريد على npm. استهدفت الحادثة الأولى مستخدمي العملات الرقمية من خلال حقن برنامج ضار في 18 حزمة برمجية شائعة الاستخدام.
ما هي هجمات سلسلة التوريد؟
هجوم سلسلة التوريد هو عندما يتم إدخال كود ضار في مكونات برمجية يعتمد عليها الآخرون. لأن المكتبات مفتوحة المصدر يعاد استخدامها في عدد لا يحصى من المشاريع، فإن اختراقاً واحداً يمكن أن ينتشر على نطاق واسع.
تزيد الممارسات الحديثة في تطوير البرامج من هذه المخاطر. فالتطبيقات تعتمد غالباً على المئات من المكتبات الصغيرة التي يديرها أفراد قليلون. ومع قيام الذكاء الاصطناعي بسحب المزيد من الحزم تلقائياً، فإن عدد التبعيات – وبالتالي نقاط الهجوم – في ازدياد مستمر.
كيف عمل البرنامج الضار
في الهجوم الذي استهدف العملات الرقمية، حصل المخترقون على التحكم بحساب أحد المطورين، مما منحهم صلاحية نشر كود ضار على npm. تم اكتشاف الهجوم من قبل شركتي الأمن Aikido و Socket، اللتين أشارتا إلى أن الهجوم كان يمكن أن يؤثر على مليارات التنزيلات أسبوعياً.
عمل البرنامج الضار الأول كـ “اعتراض” في المتصفح. كان يتتبع الوظائف الأساسية مثل `fetch` و `XMLHttpRequest` وواجهات برمجة التطبيقات (APIs) للمحافظ الرقمية، باحثاً عن طلبات تحويل الأموال. عند اكتشاف معاملة، كان يستبدل عنوان المحفظة المستلم بعنوان يسيطر عليه المهاجم، مستخدماً عنواناً مشابهاً لتجنب إثارة الشكوك.
أما البرنامج الضار الثاني، الذي اكتشف بعد أيام، فكان له هدف مختلف. حيث قام بجمع رموز الوصول إلى npm، ومفاتيح SSH، ومعلومات دخول أخرى من بيئات المطورين، ثم أعاد نشر نفسه في حزم إضافية. بينما لم يستهدف العملات الرقمية مباشرة، إلا أنه أظهر كيف يمكن لاختراق واحد أن ينتشر بسرعة كبيرة.
تأثير الهجمات على مستخدمي العملات الرقمية
كان التركيز الأول للمهاجمين على المحافظ المتوافقة مع شبكة Ethereum مثل MetaMask. وعلى الرغم من الانتشار الواسع للحزم المخترقة، تتبع مراقبو البلوكشين أقل من 500 دولار أمريكي تم تحويلها إلى عناوين المهاجمين.
يعزو الخبراء الحد من الضرر إلى الكشف السريع والاستجابة الفورية.
وأوضحت Flamingo Finance أنها لم تتأثر لأن منصتها اللامركزية لا تعتمد على عمليات التحويل المباشرة. Instead, فهي تستخدم تقنية EVM فقط للعمليات عبر السلاسل (Cross-Chain)، وهو ما لم يحاول البرنامج الضار استغلاله.
مخاطر هيكلية في عالم البرمجة مفتوحة المصدر
تكشف الحادثتان عن هشاشة سلسلة التوريد في البرمجيات مفتوحة المصدر. حيث يمكن لاختراق حساب واحد أن يعرض مليارات التنزيلات للخطر. العديد من هذه الحزم البرمجية يديرها أفراد أو فرق صغيرة جداً تفتقر إلى الموارد اللازمة للدفاع ضد الهجمات المستهدفة.
طالب الباحثون بتحسينات أمنية، مثل:
- استخدام مفاتيح أجهزة إلزامية للمطورين.
- تشديد صلاحيات النشر.
- استخدام شهادات رقمية للتأكد من صحة الإصدارات الجديدة.
بدون هذه التغييرات، سيظل التصيد وسرقة بيانات الدخول نقطة دخول سهلة للمهاجمين.
نصائح للحماية والأمان
لحماية أنفسهم، يمكن للمطورين اتخاذ خطوات مثل:
- تفعيل المصادقة الثنائية باستخدام الأجهزة.
- تقييد أذونات النشر.
- تغيير كلمات المرور بانتظام.
- تحديد إصدارات المكتبات المستخدمة بدقة.
- فحص التطبيقات بحثاً عن أي نشاط غير طبيعي.
أما المستخدمون العاديون، فيمكنهم تقليل المخاطر عن طريق:
- عدم تحديث التطبيقات أو الإضافات فور صدورها والانتظار قليلاً.
- تقليل عدد التطبيقات والإضافات المتصلة بمحافظهم الرقمية.
- استخدام المحافظ المادية (Hardware Wallets) أو المحافظ متعددة التوقيع للمبالغ الكبيرة.
أسئلة شائعة
س: ما هو هجوم سلسلة التوريد في العملات الرقمية؟
ج: هو هجوم إلكتروني يستهدف مكتبات برمجية يعتمد عليها الكثير من التطبيقات. يدخل المخترقون كوداً ضاراً يمكنه سرقة أموال من محافظ العملات الرقمية عندما يحاول المستخدم إجراء معاملة.
س: كيف تجنبت Flamingo Finance تأثير الهجوم؟
ج: لأن منصتها لا تعتمد على طريقة التحويل المباشر التي كان يستهدفها البرنامج الضار. Instead, تستخدم تقنية أخرى للعمليات بين الشبكات المختلفة لم يتعرض لها الهجوم.
س: كيف أحمي نفسي كمستخدم؟
ج: تأخر في تحديث التطبيقات، استخدم أقل عدد ممكن من الإضافات المتصلة بمحفظتك، واحتفظ بمبالغك الكبيرة في محفظة مادية آمنة.
