في 23 يناير، تعرض مستخدمو بروتوكولات وشركات Web3 المتعددة إلى حملة تصيد جماعية قام بها المحتالون. وقد تم فقدان ما يزيد عن ٥٨٠ ألف دولار من العملات المشفرة حتى الآن في الهجوم، والذي استخدم رسائل البريد الإلكتروني المرسلة من عناوين البريد الإلكتروني الرسمية لـ WalletConnect وToken Terminal وSocial.Fi وDe.Fi، بالإضافة إلى Cointelegraph.
وفيما يلي تسلسل زمني لما حدث:
10:03 صباحًا بالتوقيت العالمي: WalletConnect أعلن أن مستخدميها كانوا يتلقون رسائل بريد إلكتروني ضارة: “نحن على علم برسالة بريد إلكتروني يبدو أنها تم إرسالها من عنوان بريد إلكتروني مرتبط بـ WalletConnect يطالب المستلمين بفتح رابط ليتمكنوا من المطالبة بإنزال جوي. يمكننا أن نؤكد أن هذا البريد الإلكتروني لم يتم إصداره مباشرة من WalletConnect أو أي من الشركات التابعة لـ WalletConnect، وأن الرابط يبدو أنه يؤدي إلى موقع ضار.
ادعى فريق WalletConnect أنه كان يعمل مع شركة Blockcaid لأمن blockchain لتحديد كيفية وصول المهاجم إلى مجال البريد الإلكتروني للفريق. الحصار بعد ذلك مشترك التقرير من حساب X الخاص به.
10:11 صباحًا بالتوقيت العالمي: تلقى كوينتيليغراف تنبيهًا على تيليجرام بأن عنوان بريده الإلكتروني الرسمي كان يرسل رسائل بريد إلكتروني احتيالية إلى المشتركين. بدأ موظفو كوينتيليغراف أيضًا في الإبلاغ داخليًا عن تلقيهم رسالة بريد إلكتروني ضارة. تزعم الرسالة (لقطة الشاشة أدناه) أنها “الذكرى العاشرة لـ Web3 Exclusive Airdrop” وترتبط ببروتوكول ضار.
تم تنبيه قسم تكنولوجيا المعلومات في كوينتيليغراف على الفور بالمشكلة، وقام بدوره بالاتصال بمزود البريد الإلكتروني للشركة، ميلر لايت، لتحديد السبب. وفي الوقت نفسه، نجح فريق تكنولوجيا المعلومات في حظر الروابط الضارة، مما منع إرسالها إلى أي شخص آخر.
كوينتيليغراف أيضًا نشر إلى X منصات التواصل الاجتماعي الأخرى، محذرة من أنها لا تروج لعمليات إسقاط جوي وأنه لا ينبغي للمستخدمين النقر فوق الروابط من رسائل البريد الإلكتروني التي تدعي خلاف ذلك.
تنبيه احتيال
لقد تم إعلامنا بوجود المحتالين الذين ينتحلون صفة Cointelegraph.
كوينتيليغراف لا يصدر إسقاطات جوية.
يرجى عدم الرد أو النقر على أي روابط مرسلة في DM/E-MAIL الخاص بك من قبل أي شخص يدعي أنه جزء من فريق Cointelegraph.
كن آمنا! pic.twitter.com/yi2VmW12xC
— كوينتيليغراف (@Cointelegraph) 23 يناير 2024
حوالي الساعة 11:00 صباحًا بالتوقيت العالمي المنسق: أصبح كوينتيليغراف على علم بتقرير WalletConnect وبدأ التحقيق، واتصل بـ Blockcaid في محاولة للحصول على مزيد من المعلومات. وبعد فترة وجيزة، أبلغ المحقق الأمني ZachXBT على Telegram أن هجوم التصيد الاحتيالي كان قادمًا من “CoinTelegraph وWalletConnect وToken Terminal وDe.Fi”.
11:41 صباحًا بالتوقيت العالمي: أبلغ كوينتيليغراف عن الاختراق.
1:34 مساءً بالتوقيت العالمي: أصدرت خدمة الأمن السيبراني هدسون روك تقريرا ادعاء أنها اكتشفت برامج ضارة على جهاز كمبيوتر تابع لأحد موظفي MailerLite، وهي نفس خدمة البريد الإلكتروني التي تستخدمها جميع مواقع الويب التي أرسلت رسائل البريد الإلكتروني الضارة. افترض Hudson Rock أن هذه البرامج الضارة ربما سمحت للمهاجم بالوصول إلى خوادم MailerLite، وهو ما قد يفسر كيفية حدوث حملة التصيد الاحتيالي. قام كوينتيليغراف بتحديث تغطيته لتشمل ادعاءات هدسون روك.
يؤدي اختراق MailerLite إلى عمليات سرقة ضخمة للعملات المشفرة — هل هي استغلال أم عدوى InfoStealer؟https://t.co/UTTUP78Ceq pic.twitter.com/qZtBj8SAd3
– هدسون روك (@RockHudsonRock) 23 يناير 2024
وفقًا للتقرير، “حدد باحثو Hudson Rock جهاز كمبيوتر مصابًا مؤخرًا لموظف في MailerLite ولديه إمكانية الوصول إلى عناوين URL الحساسة داخل MailerLite والجهات الخارجية.” كان للكمبيوتر حق الوصول إلى بيانات اعتماد تسجيل الدخول لعنوان URL admin.mailerlite.com/admin، والذي يبدو أنه صفحة تسجيل الدخول لموظفي MailerLite.
بالإضافة إلى ذلك، يحتوي الكمبيوتر على ملفات تعريف ارتباط صالحة لـ Slack.com وOffice365، والتي كان من الممكن استخدامها لتنفيذ عمليات اختطاف الجلسة للحصول على معلومات خاصة. وزعمت شركة الأمن السيبراني أنها حصلت على صورة لسطح مكتب المستخدم في وقت وقوع الهجوم، والتي كشفت “أنهم تعرضوا للاختراق عند محاولتهم تنفيذ برنامج مصاب”.

وحذر هدسون روك من أن هذا الدليل لم يثبت أن حملة التصيد الاحتيالي كانت ناجمة عن هذه الإصابة بالبرامج الضارة، لأنه “من غير المؤكد ما إذا كان MailerLite قد تعرض لاستغلال أم لا”. ومع ذلك، فإن الأدلة “توضح كيف يمكن لعدوى سرقة معلومات واحدة أن تضر أي شركة” وتوفر فرضية معقولة لكيفية حدوث حملة التصيد الاحتيالي.
4:55 مساءً بالتوقيت العالمي: الحصار مطلق سراحه تقرير عن نتائج تحقيقه، مدعيًا أن المهاجم “تمكن من الاستفادة من ثغرة أمنية في مزود خدمة البريد الإلكتروني Mailer Lite لانتحال صفة شركات web3، مما أدى إلى استنزاف أكثر من 600 ألف دولار.”
تواصل Cointelegraph مع MailerLite، والتي ردت بأنها تجري حاليًا تحقيقها الخاص. وحتى وقت النشر، لم تكن قد قدمت تقريرها بعد.













