تشريح برمجيات Crypto Drainer: كيف تسرق أصولك الرقمية بثوانٍ؟

مقدمة تحليلية

تُمثّل برمجيات استنزاف المحافظ الرقمية، المعروفة تقنياً بمصطلح Crypto Drainers، واحدة من أخطر التهديدات السيبرانية الناشئة في منظومة التمويل اللامركزي (DeFi) والويب 3 (Web3). هذه البرمجيات الخبيثة ليست مجرد فيروسات تقليدية تصيب أنظمة التشغيل، بل هي شيفرات برمجية مخصصة للعمل بالكامل على الشبكة (On-chain)، وتستهدف استغلال ثقة المستخدمين وتفاعلهم مع العقود الذكية لسرقة الأصول الرقمية والرموز غير القابلة للاستبدال (NFTs) في ثوانٍ معدودة.

تاريخياً، كانت عمليات سرقة العملات المشفرة تتطلب اختراق مفاتيح التشفير الخاصة (Private Keys) أو السيطرة على الأجهزة المحمولة عبر هجمات تبديل شريحة الاتصال (SIM Swapping). ومع ذلك، غيّرت برمجيات Crypto Drainer قواعد اللعبة بالكامل عبر نقل الهجوم إلى طبقة التطبيقات وتجربة المستخدم. إذ تعتمد بشكل كامل على خداع الضحية لتوقيع معاملات خبيثة تمنح المهاجم صلاحيات كاملة على محتويات المحفظة دون وعي منه. وبحسب بيانات أمنية متعددة (بيانات تفصيلية لعام 2024 غير متوفرة بدقة في التقرير الأصلي لمجموع الضحايا الخسائر المحددة)، فإن مجموعات التصيد الاحتيالي كخدمة (PaaS) مثل MS Drainer وAngel Drainer وInferno استنزفت مئات الملايين من الدولارات عبر استخدام هذه التقنيات قبل إغلاق عملياتها أو استبدالها ببرمجيات أحدث.

إن فهم كيفية عمل هذه الأدوات يمثّل خط الدفاع الأول للمستثمرين والمطورين على حد سواء. إن الهجمات لا تبدأ من واجهات برمجية معقدة، بل تبدأ من واجهة مستخدم (UI) مصممة بعناية فائقة لمحاكاة منصات التوزيع المجاني للعملات (Airdrops) أو بوابات سك الرموز الرقمية (Minting) الشهيرة، مما يستدعي تفكيك البنية البرمجية لهذه الهجمات لفهم نقاط الضعف التي تستغلها.

التحليل التقني

تعتمد آلية عمل برمجيات Crypto Drainers على استغلال بروتوكولات التفاعل الأساسية في شبكات البلوكشين القائمة على آلة إيثريوم الافتراضية (EVM). عندما يربط المستخدم محفظته الرقمية بموقع التصيد، يبدأ المهاجم في فحص محتويات المحفظة برمجياً لتحديد الأصول الأكثر قيمة، ومن ثم توليد معاملات مخصصة تتطلب تفاعل المستخدم وتوقيعه.

تستخدم هذه البرمجيات الخبيثة مجموعة من الوظائف البرمجية المحددة في معايير العقود الذكية لسرقة الأصول، وتتضمن ما يلي:

• دالة Approve وSetApprovalForAll: تُعد هذه الآلية الأقدم والأكثر شيوعاً في سرقة الرموز من معيار ERC-20 وERC-721. من خلال دفع المستخدم لتوقيع معاملة الموافقة (Approve)، يمنح الضحية عنوان العقد الذكي الخاص بالمهاجم الحق في إنفاق كمية غير محدودة من الرموز نيابة عنه. بمجرد تأكيد التوقيع، يستدعي المهاجم دالة transferFrom لنقل الأصول إلى محفظته الخاصة بشكل فوري.
• توقيعات التفويض EIP-2612 (Permit): طوّرت برمجيات التصيد أساليبها لاستغلال ميزة Permit التي تتيح للمستخدمين تفويض المعاملات عبر توقيع رسالة خارج الشبكة (Off-chain Signature) دون الحاجة لدفع رسوم غاز (Gas Fees). تستغل البرمجيات الخبيثة هذه الميزة من خلال عرض واجهة توقيع غامضة لا توضح للمستخدم طبيعة الصلاحيات الممنوحة، وبمجرد التوقيع، يمتلك المهاجم إثبات التفويض ويقوم ببثه على الشبكة لسحب الأصول دون وعي الضحية.
• تجاوز الفلاتر الأمنية عبر CREATE2: تستخدم برمجيات التصيد المتقدمة دالة CREATE2 الخاصة بـ EVM لتوليد عناوين عقود ذكية جديدة بشكل ديناميكي لكل ضحية على حدة. تتيح هذه التقنية للمهاجمين تجنب تصفية معاملاتهم عبر محافظ الأمان وقوائم الحظر السوداء، حيث لا يتم نشر كود العقد الذكي الخبيث على الشبكة إلا في جزء من الثانية قبل تنفيذ معاملة السرقة مباشرة، مما يجعل التعرف المسبق عليها شبه مستحيل.
• استهداف تفويضات العقود الذكية غير المحدودة: بدلاً من طلب نقل الأموال مباشرة، تطلب برمجيات التصيد تفويضات مفتوحة تسمح لها بالعودة لاحقاً لسحب الأصول حتى لو قام المستخدم بإضافة أموال جديدة إلى محفظته في وقت لاحق.

تتميز هذه الأنظمة البرمجية بمرونة تقنية هائلة؛ فهي تستخدم نصوص JavaScript برمجية مخفية بعناية (Obfuscated Scripts) مدمجة في واجهات المواقع المصابة. تُجري هذه النصوص فحصاً تلقائياً لرصيد المحفظة بمجرد الاتصال عبر مكتبات برمجية مثل ethers.js أو Web3.js، وتصنف الأصول تنازلياً من حيث القيمة لتبدأ بطلب توقيع المعاملة ذات القيمة الأعلى أولاً لضمان تحقيق أقصى ربح قبل تنبه الضحية.

السياق وتأثير السوق

لم تعد برمجيات Crypto Drainers مجرد أدوات فردية يطورها قراصنة هواة، بل تحولت إلى قطاع اقتصادي منظم يُعرف بنموذج 'التصيد الاحتيالي كخدمة' (Phishing-as-a-Service). في هذا النموذج، يقوم مطورو البرمجيات الخبيثة الأساسيون بتأجير الكود والأدوات لشركاء تابعين (Affiliates) مقابل الحصول على نسبة مئوية تتراوح عادة بين 20% إلى 30% من إجمالي الأموال المسروقة. يتم تشغيل هذه العمليات عبر قنوات مغلقة ومجتمعات مشفرة على منصات مثل Telegram وDiscord، حيث تُباع الواجهات الجاهزة والبرمجيات مع لوحات تحكم متقدمة تتيح للمهاجمين تتبع الضحايا وحجم المبالغ المستنزفة بلحظة وقوعها.

وقد أدى هذا التحول التجاري إلى زيادة هائلة في وتيرة ونجاح الهجمات السيبرانية على مستخدمي الويب 3. ولم يعد الأمر يقتصر على صغار المستثمرين؛ بل طال منصات بروتوكولات وصناع محتوى ومؤثرين يمتلكون محافظ بمليارات الدولارات. تسببت هذه الهجمات في اهتزاز الثقة العامة ببروتوكولات التمويل اللامركزي، وأجبرت العديد من منصات تداول الأصول الرقمية والمحافظ الرقمية على إعادة تقييم واجهات المستخدم الخاصة بها وتطوير آليات تحذيرية مسبقة عند رصد أي توقيعات مشبوهة. ومع تزايد تعقيد الشبكات المتعددة (Multi-chain)، أصبحت عمليات تعقب الأموال المسروقة أكثر صعوبة، حيث يتم غسل الأصول على الفور عبر خلاطات العملات الرقمية (Crypto Mixers) مثل Tornado Cash أو تحويلها إلى شبكات يصعب تتبعها.

رؤية Glitch4Techs

تُشير القراءة التحليلية لشبكة Glitch4Techs إلى أن الخطر الأكبر لا يكمن في ذكاء برمجيات Crypto Drainers بحد ذاتها، بل في الفجوة التصميمية القائمة بين بروتوكولات البلوكشين المعقدة وواجهات تفاعل المستخدمين في المحافظ الحالية. إن مطالبة المستخدم العادي بالتمييز بين توقيع رسالة تشفيرية آمنة وتوقيع تفويض ERC-20 خبيث يُعد عبئاً أمنياً غير منطقي، ويُمثل فشلاً ذريعاً في هندسة تجربة المستخدم (UX) في الويب 3.

تتوقع منصتنا أن تستمر هذه الهجمات في النمو والتعقيد ما لم تتبنَّ صناعة المحافظ الرقمية معايير أمنية صارمة وموحدة. ونرى أن الحلول الحالية القائمة على الإضافات الأمنية للمتصفحات غير كافية، ويجب استبدالها بآليات أمنية مدمجة في صلب البنية التحتية للمحافظ. ومن أبرز التوصيات الأمنية والحلول التي يجب تبنيها:

• دمج تكنولوجيا محاكاة المعاملات (Transaction Simulation) بشكل افتراضي وإلزامي في جميع المحافظ، بحيث تظهر للمستخدم نافذة واضحة تُبين الأصول التي ستغادر محفظته بالتحديد قبل توقيع أي معاملة.
• تفعيل ميزة التوقيع المتعدد (Multi-Signature) للمحافظ التي تحتوي على مبالغ مالية ضخمة، واستخدم محافظ الأجهزة الصلبة (Hardware Wallets) مع فصل المحافظ المخصصة للتداول اليومي والسك عن محافظ الادخار طويلة الأجل.
• المراجعة الدورية وسحب التفويضات المفتوحة بشكل منتظم عبر منصات موثوقة مثل Revoke.cash أو Etherscan Token Approval للحد من فرص استغلال التفويضات القديمة.

في النهاية، يظل الوعي التقني هو حائط الصد الأقوى؛ إن الشعار الذهبي للعملات المشفرة هو 'لا تثق، بل تحقق'، ولكنه يحتاج اليوم إلى ترجمة برمجية عملية تحمي المستخدمين من الجهل التقني الذي تستغله برمجيات الاستنزاف الخبيثة.