اختراق DNS لـ Bitcoin.org: كيف اتحول الموقع الرسمي للبيتكوين لعملية نصب "ضاعف عملاتك"
في سبتمبر 2021، اتعرض Bitcoin.org — البيت الإلكتروني التاريخي للبيتكوين اللي بيديره المشغّل المجهول Cobra — لاختراق على مستوى الـ DNS وتحوّل لعملية نصب "ضاعف بيتكوينك" المزيفة، وجمع المحتالون حوالي 17,000 دولار قبل ما الموقع يتوقف. غطاء تفصيلي من Domain Mayday عن اللي حصل، وإزاي، وإيه اللي بيعلّمنا إياه حتى لو المواقع المتعلقة بالكريبتو نفسها بتعتمد على DNS.
- domains
- security
- dns
- domain-security
لأكتر من عقد من الزمن، لو حد أراد الإجابة الصريحة والمحايدة على سؤال "إيه هو البيتكوين وإزاي أستخدمه بأمان"، الإنترنت كانت بتبعته لعنوان واحد: Bitcoin.org.
الموقع ما كانش بورصة. ما كانش بيبيع حاجة. كان أقرب حاجة لـ"بطاقة ترحيب رسمية" لأعتى عملة لا مركزية في العالم — موقع متسجّل من 18 أغسطس 2008، قبل أول بلوك في السلسلة بالأساس، المكان اللي عاش فيه الورقة البيضاء للبيتكوين والمكان اللي بيتاعلم فيه المبتدئون أول قاعدة في عالم الكريبتو: كن بنكك الخاص، وما تثقش في حد يحتفظ بمفاتيحك.
فيه سخرية قاسية جداً في اللي حصل يوم الخميس، 23 سبتمبر 2021. أكتر درس أماني بيتتكرر في عالم الكريبتو — لو حد بيعدك بمضاعفة عملاتك، فهو نصّاب — اتبث معكوساً من البيت الأصلي للبيتكوين. لساعات قليلة، الموقع اللي كان بيعلّم الناس إنهم ميوقعوش في فخ "ضاعف بيتكوينك" هو نفسه بقى عملية النصب دي. ومحصلش ده لأن حد اخترق سيرفر، لكن لأن حد سيطر على النطاق نفسه.
بيت موثوق ورمزي للبيتكوين
عشان تفهم ليه الاختراق ده وجع، لازم تفهم إيه اللي كان يعنيه Bitcoin.org.
البيتكوين ماعندوش رئيس تنفيذي، ولا مقر، ولا متحدث رسمي. اللي كان عنده — لسنين — مجموعة صغيرة من المواقع المرجعية التي يديرها المجتمع، وكان Bitcoin.org أبرزها. CryptoPotato وصفته بـأقدم موقع إلكتروني مرتبط بالبيتكوين، متسجّل من أكتر من 13 سنة. كان بيستضيف توصيات المحافظ الإلكترونية، وأدلة للمبتدئين، ونسخة من الورقة البيضاء لساتوشي ناكاموتو.
وكان الموقع، بشكل ملائم للبيتكوين، يديره شبح. المشغّل مجهول الهوية معروف فقط بـCobra — مجهول كمبدأ. وده المبدأ ده اتحداه في المحكمة مؤخراً: قبل أشهر قليلة، كسب المدّعي "ساتوشي" Craig Wright قضية حقوق نشر بريطانية أجبرت Bitcoin.org على إزالة الورقة البيضاء، وأصدر قاضٍ أمراً بعدم انتهاك Cobra لحقوق النشر الخاصة بـ Wright في المملكة المتحدة. دفاع Cobra عن هويته المجهولة كان شبه شعري: قواعد المحكمة سمحت لي إن يُقاضَى عليّ بشكل مجهول، لكنني ما قدرتش أدافع عن نفسي بشكل مجهول.
المهم إن Bitcoin.org كان يحمل ثقة — النوع المؤسسي اللي المفروض حركة بلا قيادة متمركزة ماتملكوش، متراكمة بهدوء على مدار ثلاثة عشر سنة. وده بالظبط اللي خلاه هدفاً. عملية النصب بتشتغل بشكل أحسن كلما كانت المنصة المضيفة أكتر موثوقية. وما فيش كتير في عالم الكريبتو أوثق من اسم البيتكوين نفسه.
في السخرية فيه طبقة تانية أعمق. كل فلسفة Bitcoin.org كانت قايمة على الاحتفاظ الذاتي: احتفظ بمفاتيحك بنفسك، ما تثقش في أي وسيط، تحقق من كل حاجة. الزائر اللي استوعب الدرس ده كويس مش هيدّي عملاته لمحفظة غريبة على وعد. لكن عملية النصب دي ما طلبتش منهم يثقوا في غريب — طلبت منهم يثقوا في Bitcoin.org نفسه، العنوان اللي قيلّهم لسنين إنه المكان الآمن للبداية. الهجوم ما هزمش الدرس؛ اختطف الرسول.
سبتمبر 2021: الاختراق وعملية النصب المزيفة
صباح يوم 23 سبتمبر 2021، الزوار اللي فتحوا Bitcoin.org ما شافوش أدلة المحافظ. شافوا نافذة منبثقة — طبقة تغطية نظيفة وذات مظهر رسمي لُصقت على الصفحة الرئيسية لأكتر موقع مرجعي موثوق في البيتكوين.
الرسالة كانت أقدم حيلة في عالم الكريبتو، لكن بلبوس سلطة مستعارة. ادّعت إن مؤسسة البيتكوين بتترد الجميل للمجتمع، وإن العرض محدود بـأول 10,000 مستخدم، وبعتت وعداً واحداً بسيطاً: أرسل بيتكوين لهذا العنوان، وهنبعتلك ضعف المبلغ! كود QR عمل الموضوع سهل وسلس. الآلية، كما وصف CoinDesk بجفاف النوع ده من العمليات، دايماً واحدة: هذه المخططات بتعمل وعوداً كاذبة بمضاعفة الأموال بعد إرسال مبلغ أولي لعنوان محفظة عبر كود QR. والنتيجة دايماً واحدة كمان: الضحايا، في الحقيقة، ما بيتلقوش حاجة في المقابل وبيخسروا الكريبتو اللي بعتوه.
Cobra أكّد الاختراق بشكل علني وصريح، ونشر إن الموقع اتاختُرق. بنحقق دلوقتي في كيفية وضع المخترقين للنافذة المنبثقة الاحتيالية.
إيه اللي خسره الزوار
عملية نصب "ضاعف فلوسك" بتشتغل بس لو ناس قليلة صدقتها. في موقع عشوائي، تقريباً محدش هيصدق. على Bitcoin.org، صدّق بعضهم.
محفظة عملية النصب ما فضلتش فاضية. BleepingComputer بلّغت إن آخر رصيد محدَّث للمحفظة كان 0.40571238 BTC، أي ما يقارب 17,000 دولار أمريكي. CoinDesk، اللي تابع الحادثة مباشرة، أشار إن عنوان عملية النصب استقبل أكتر من 17,700 دولار في معاملات صغيرة حتى وقت الكتابة.
سبعة عشر ألف دولار راحوا في نافذة ليلية واحدة، في عملية احتيال كان الموقع المضيف نفسه هيحذّرك منها. وفاكر أقسى جزء في تصميم البيتكوين: المعاملات دي نهائية. مافيش استرداد، مافيش قسم للاحتيال، مافيش "اتصل بالبنك". نفس عدم القابلية للعكس اللي بيخلي البيتكوين قوي هو اللي خلّى خسارة كل ضحية دائمة من لحظة مسح الكود.
الرقم بالدولار تقريباً ما هو القضية. الضرر الحقيقي كان على اللي بناه Bitcoin.org طول ثلاثة عشر سنة — الافتراض إن هذا العنوان، من بين كل العناوين، آمن للثقة فيه.
إزاي حصل: اختراق DNS مش اختراق سيرفر
ده هو التفصيل اللي بيخلي الموضوع ده قصة Domain Mayday ومش مجرد حادثة تصيّد اعتيادية: المهاجمون محتاجوش أصلاً يخترقوا سيرفرات Bitcoin.org.
Cobra كان قاطع في النقطة دي. السيرفر الأصلي، بحسب كلامه، ما اتلمسش — السيرفر الأصلي الخاص بي ما استقبلش أي حركة مرور أثناء الاختراق. بدل ده، الهجوم حصل طبقة فوق ده، في الجزء من الإنترنت اللي بيقرر لفين بيشير اسم النطاق. المراقبون اللي تابعوا الحادثة لاحظوا إن معلومات WHOIS اتعدّلت وقت الاختراق، والـ nameservers والـ DNS اتغيروا. لما تتحكم في الـ nameservers، بتتحكم في الإجابة على سؤال "إيه السيرفر اللي هو bitcoin.org؟" — وتقدر بهدوء توجّه اسم موثوق لسيرفر بتاعك إنت.
تشخيص Cobra نفسه حمّل المسؤولية لطبقة DNS، ولتغيير بنية تحتية حصل مؤخراً. كما قال: Bitcoin.org ما اتاخترقش أبداً. وبعدين انتقلنا لـ Cloudflare، وبعد شهرين اتاختُرقنا. نظريته الشغّالة كانت محددة ومثيرة للقلق: المهاجمون يبدو إنهم استغلوا ثغرة في الـ DNS. Decrypt لخّص التفسير السائد بنفس الطريقة: المهاجمون استغلوا ثغرة في إعداد الـ DNS بعد انتقال الموقع لـ Cloudflare قبل شهرين.
السبب الجذري كان إعداد خاطئ، أو اختراق على مستوى المسجّل، أو حاجة على مستوى مزوّد الـ DNS — ده ما اتحدّدش بشكل كامل للعموم. CoinDesk أشار إن السبب الجذري لاختراق الموقع لسه مش متأكد منه، وإن كان بعضهم رجّح إنه اختراق DNS. لكن شكل اللي حصل واضح. التطبيق كان تمام. الكود كان تمام. المفاتيح كانت تمام. الاسم هو اللي اتاختُرق، وعلى الإنترنت، التحكم في الاسم ده معظم المعركة.
الاستجابة والتداعيات
الحل، وبشكل لافت، حصل كمان على مستوى النطاق.
الموقع ما قدرش يعمل "تصحيح" وخلاص، لأن النسخة الخبيثة الحية من Bitcoin.org ما كانتش بتُخدَم من البنية التحتية الحقيقية للموقع. أسرع طريقة لوقف النزيف كانت إخراج النطاق نفسه من الخدمة. المسجّل، Namecheap، عمل بالظبط كده — وبحسب BleepingComputer، عطّلنا النطاق بشكل مؤقت. لفترة، الزوار ما شافوش نصب ولا صفحة رئيسية؛ CoinDesk أفاد إنهم قوبلوا بـ "لا يمكن الوصول لهذا الموقع." أكتر صفحة مرجعية موثوقة في البيتكوين اتأطفأت.
بعد ساعات قليلة من التحقيق، النطاق اتأشّر صح وعاد الموقع لحالته قبل الاختراق. الفترة كانت قصيرة — يوم أو أقل — والخسارة بالدولار كانت متواضعة بمقاييس جرائم الكريبتو. لكن الحادثة أثّرت بشدة تحديداً بسبب أي موقع هو ده. حركة بتفتخر بـ "ما تثقش، تحقق" كانت شايفة صفحتها المرجعية الرسمية اتسلّحت وتوجّهت ضد مستخدميها.
إيه اللي بيعلّمنا إياه حتى لو المواقع المتعلقة بالكريبتو بتعتمد على DNS
أصعب درس في اختراق Bitcoin.org هو إن كونك من عالم الكريبتو مش بيحميك تقريباً من أي حاجة منه.
البيتكوين لامركزي. دفتر حساباته معروف إنه صعب التلاعب فيه. مفاتيحه، لما بتتمسك صح، بتاعتك وحدك. مش حاجة من دي عملت فرق هنا — لأن الباب الأمامي لكل ده كان اسم نطاق عادي تماماً، راكب على نفس الـ DNS والمسجّل وسباكة الـ nameserver زي أي متجر إلكتروني أو مخبزة محلية. الـ blockchain كان سليم. الموقع كان محصّن بالطريقة المهمة، لكن الاسم اللي بيشير ليه ما كانش.
في ثلاثة دروس راسخة بتطلع من ده:
-
النطاق بتاعك جزء من سطح الهجوم — وغالباً الجزء الأكبر. تقدر تكتب كود مثالي، وتخزّن مفاتيحك في تخزين بارد، وتحصّن كل سيرفر، ومهاجم بيتحكم في الـ nameservers أو حساب المسجّل بتاعك ممكن يتنكّر ليك بشكل كامل. الاسم هو الباب الأمامي، والاسم المختطَف بيخلّي الغريب يجاوب عليه.
-
تغييرات الـ DNS والمسجّل صامتة وعالية التأثير. لما nameservers + DNS اتغيروا، ما "انكسرش" حاجة بطريقة تلتقطها معظم أنظمة المراقبة على الفور — الموقع لسه اتحمّل، بس من مكان غلط. قفل المسجّل، وقفل السجل، وDNSSEC، والتحكم الصارم في الوصول لحسابات المسجّل ومزوّد الـ DNS مش نظافة اختيارية؛ دي الأقفال على الباب اللي الكل بيتناساه.
-
السمعة هي الحاجة اللي اتسرقت فعلاً. المهاجمون ما أرادوش سيرفر Bitcoin.org بـ 17,000 دولار؛ أرادوا مصداقيته، مستعارة لساعات قليلة عشان يخلوا عملية نصب قديمة قدم الزمن تبدو حقيقية. كلما كان نطاقك أكتر ثقة، كلما كانت قيمته للاختطاف أعلى — وكلما محتجت إنك تكون أكتر حرصاً في منع أي حد يغيّر لفين بيشير.
-
البنية التحتية "اللاموثوقة" لسه بتعتمد على أسماء موثوقة. حتى البيتكوين، المثال الكلاسيكي لإزالة الوسطاء، بيوصل لمستخدميه عبر DNS — نظام هرمي ووسيط وقابل للتغيير. لامركزة المال مش بتلامركز الباب الأمامي.
-
سرعة الاكتشاف أهم من أناقة الدفاع. Bitcoin.org نجا من ده بخسارة متواضعة إلى حد كبير لأن المجتمع اكتشف عملية النصب بسرعة والمسجّل قدر يسحب النطاق في غضون ساعات. كلما فضل الاسم المختطَف بيحلّ لمهاجم، كلما تكاثرت الخسارة — والضرر على السمعة. أن تعرف في اللحظة إن التحكم في اسمك أو التوجيه اتغيّر، ده أكتر قيمة من أي قفل ثابت منفرد.
زاوية Namefi
اختراق Bitcoin.org في جوهره مشكلة تحكم وقابلية تحقق. التطبيق كان سليم. الـ blockchain كان سليم. اللي فشل كان الطبقة اللي بتجاوب على سؤال بسيط في مظهره: من اللي عنده حق التحكم في هذا الاسم، ولفين مسموحله يشير؟ لما الإجابة على السؤال ده ممكن تتغيّر بصمت — nameservers اتبدلت، معلومات WHOIS اتعدّلت وقت الاختراق — الثقة بتتبخّر مهما كانت بقية المنظومة قوية.
Namefi بتنطلق من فكرة إن ملكية النطاق والتحكم فيه المفروض يتصرّفوا كأصل موثوق قابل للتحقق ومتعلق بالإنترنت بشكل أصيل — مش مجرد إدخال في قاعدة بيانات قابلة للتعديل يقدر مهاجم يعدّلها بهدوء. الملكية المُرمَّزة والقابلة للتدقيق بتخلّي السؤال "من اللي بيتحكم في هذا النطاق، وهل التحكم ده اتغيّر للتو؟" قابلاً للإجابة على السلسلة — محوّلاً تبديل الـ nameserver الصامت لحدث مرئي وخاضع للمساءلة، مع البقاء متوافقاً مع الـ DNS اللي بقية الإنترنت بتعتمد عليه. ده مش بيخلي الـ DNS نفسه يختفي، لكن بيخلّي التحكم في اسم أصعب اختطافاً بشكل غير مرئي وأسهل تحققاً بشكل مستمر.
Bitcoin.org قضى ثلاثة عشر سنة بيعلّم العالم إن اللحظة الخطيرة هي اللحظة اللي بتوقف فيها عن التحقق وتبدأ في الثقة. لساعات قليلة في سبتمبر 2021، نطاقه الخاص أثبت الدرس بالطريقة الصعبة. الخلاصة للكل أبسط مما بتبدو: نطاقك هو هويتك على الإنترنت — احرس الاسم بنفس حرصك على المفاتيح اللي وراه.
المصادر والقراءة الإضافية
- BleepingComputer — Bitcoin.org hackers steal $17,000 in 'double your cash' scam
- CoinDesk — Bitcoin.org Website Inaccessible After Being Hacked by Apparent Giveaway Scam
- Bitcoin.com News — Hackers Compromise Web Portal Bitcoin.org — DNS Hijack Replaces Site With BTC Doubler Scam
- Decrypt — Bitcoin.org Compromised, Fraudulent Crypto Giveaway Advertised
- Cointelegraph — Bitcoin.org goes offline after suffering scam attack
- CryptoPotato — BitcoinOrg Hacked: Giveaway Scam Promising Users to Double Their BTC
- NewsBTC — Bitcoin.org Hacked By Scammers For A Few Minutes. Someone Sent Them 0.4 BTC
- CoinDesk — UK Court Orders Bitcoin.org to Remove White Paper Following Craig Wright Lawsuit
- Wikipedia — Bitcoin (history of the bitcoin.org domain)
عن الكاتب/الكاتبة
أدلة ذات صلة
- الدقيقة الـ 12 دولار: لما حد اشترى Google.com بهدوء تامفي سبتمبر 2015، موظف سابق في Google اشترى google.com من خلال Google Domains بـ 12 دولار، وامتلك السيطرة الإدارية على أثمن نطاق في العالم لمدة دقيقة تقريباً. قصة سانماي فيد، ومكافأة الـ 6,006.13 دولار، وما تكشفه دقيقة واحدة من الملكية عن مَن يتحكم فعلاً في النطاق.
- Domain Mayday EP03: اختراق حسابات تويتر بالبيتكوين عام 2020في 15 يوليو 2020، تمكّن مهاجمون من اختراق تويتر عن طريق مكالمة تليفونية، واستولوا على حسابات موثّقة لأوباما وبايدن وماسك وجيتس وآبل وأوبر، ونفّذوا عملية احتيال بالبيتكوين جمعوا فيها نحو 118 ألف دولار. تحليل معمّق لكيفية سرقة هوية رقمية، وما يمكن تعلّمه عن امتلاك اسم على الإنترنت.
- نداء الطوارئ EP05: اختطاف نطاقات DeFi الجماعي على Squarespace 2024في يوليو 2024، حوّلت عملية نقل نطاقات من Google Domains إلى Squarespace إعدادات المصادقة الضعيفة إلى ثغرة جماعية واسعة النطاق. استغل المهاجمون الثغرة واختطفوا نطاقات مشاريع كريبتو و DeFi كبرى — Compound Finance وCeler Network وPendle وUnstoppable Domains — وأعادوا توجيهها نحو مواقع تصيد لاستنزاف المحافظ. إليك كيف خلّفت عملية نقل "سلسة" مئات الأبواب الأمامية مفتوحة دون قفل، وما يمكننا تعلمه في مجال أمان مسجلي النطاقات والمصادقة الثنائية.
- هجوم BadgerDAO على الواجهة الأمامية: 120 مليون دولار اتسرّبت بسبب سكريبت واحد مُدرجفي ديسمبر 2021، اخترق المهاجمون حساب Cloudflare الخاص بـ BadgerDAO وحقنوا سكريبتًا خبيثًا في واجهة الموقع الأمامية. العقود الذكية المُدققة لم تُمسّ — لكن ~120 مليون دولار خرجت من الباب عبر موافقات المحافظ التي وقّعها المستخدمون دون أن يعلموا. تحليل معمّق لماذا الموقع الإلكتروني جزء من نطاق أمانك.