هجوم BGP + DNS على MyEtherWallet: كيف سرق اختراق التوجيه على الإنترنت ما يقارب 150 ألف دولار بالإيثر
في 24 أبريل 2018، اخترق المهاجمون التوجيه على الإنترنت الخاص بـ Amazon Route 53، ودسّوا إجابات DNS مسمومة لـ myetherwallet.com، وأداروا موقعًا مزيفًا بشهادة موقّعة ذاتيًا — فسرقوا ما يقارب 150 ألف دولار من الإيثر. غوص عميق في أسباب اعتماد DNS على طبقة توجيه تثق بكل شيء افتراضيًا.
- domains
- security
- dns
- domain-security
لما بتكتب اسم موقع في المتصفح، بتكون بتثق في منظومتين غير مرئيتين إنهم يكونوا صادقين معاك.
الأولى هي DNS — دليل الهاتف على الإنترنت — اللي بيحوّل اسم زي myetherwallet.com لعنوان IP رقمي. والثانية هي BGP، بروتوكول Border Gateway، اللي بيحدد إيه المسار الفعلي اللي الباكيتات بتسلكه للوصول لذلك العنوان. ما حدش تقريبًا بيفكر في أيٍّ منهم. بيشتغلوا وخلاص، مليارات المرات كل يوم، في صمت تام.
في صباح 24 أبريل 2018، كدابوا الاتنين في نفس الوقت. لمدة ساعتين تقريبًا، أي حد كتب myetherwallet.com وضغط "تجاهل" على تحذير المتصفح، اتبعت لموقع مزيف على سيرفر بعيد كل البعد عن مقصده الحقيقي. لما ضبط التوجيه نفسه، كان المهاجمون قد سحبوا ما يقارب 150 ألف دولار بالإيثر من محافظ المستخدمين الحقيقية.
اللي بيخلي هذه الحادثة ثابتة في مناهج الأمن مش المبلغ — سرقات الكريبتو تجاوزته بكتير من بعدها. الأهم هو الآلية. المهاجمون ما اخترقوش سيرفرات MyEtherWallet. ما خمّنوش أي كلمة مرور. هاجموا الطريق، مش المبنى — باختراق طبقة التوجيه على الإنترنت لتسميم DNS نفسه.
DNS قاعد فوق طبقة توجيه بتثق بالكل افتراضيًا
عشان تفهم اللي حصل، لازم تفهم الأساس غير المريح اللي تحت كل اسم دومين على وجه الأرض.
DNS بيجاوب سؤال "إيه عنوان IP الخاص بـ myetherwallet.com؟" لكن عشان استعلام DNS بتاعك يوصل للسيرفر الصح أصلًا، راوترات الإنترنت لازم تعرف إيه الشبكة اللي بتمتلك عناوين IP لسيرفر DNS ده — وعشان يعرفوا كده، بيعتمدوا على BGP.
وهنا المشكلة. BGP بطبيعته نظام قايم على الثقة. زي ما بيقول الملخص على ويكيبيديا، بروتوكول BGP افتراضيًا مُصمَّم يثق في كل إعلانات الطرق اللي بتيجيه من الأنداد. والباحث الأمني Bob Cromwell بيوصف القصد الأصلي بشكل أصرح: BGP اتصمم عشان يكون سلسلة ثقة بين مزودي خدمة إنترنت وجامعات حسنة النية بتصدّق بشكل أعمى على المعلومات اللي بتستقبلها.
بمعنى تاني: لما مشغّل شبكة يقوم ويعلن للعالم "الترافيك الخاص بـ العناوين دي ييجيلي عن طريقي"، بقية الإنترنت تاريخيًا بتصدّق كده. في BGP في قاعدة كسر التعادل بالمسار الأكثر تحديدًا — لو شبكتين ادّعتا نفس العناوين، اللي بتعلن عن الكتلة الأضيق والأكثر تحديدًا بتكسب. وده تحديدًا الرافعة اللي المهاجم بيستخدمها.
فبالتالي سطح الهجوم لأي دومين أكبر من المسجّل بتاعه، وأكبر من مزود DNS بتاعه، وأكبر من مستضيف الموقع. بيشمل نسيج التوجيه العالمي كله اللي بيوصّل استعلام DNS بتاعك للمكان الصح. MyEtherWallet عرفت ده بالطريقة الصعبة.
اللي خسره المستخدمون في 24 أبريل 2018
الخسائر تركّزت في نافذة ساعتين تقريبًا. وفقًا لـ The Register، استمر التوجيه الخبيث من 11 صباحًا لـ 1 ظهرًا UTC في ذلك اليوم. خلال تلك الفترة، جزء من كل من حاول الوصول لـ myetherwallet.com اتوجّه بهدوء لموقع منتحل.
الموقع المنتحل كان مقنعًا. شاف زي MyEtherWallet لأنه كان نسخة طبق الأصل تقريبًا. الوحيد اللي كشفه كان تحذير الشهادة — والمشكلة إن المستخدمين كانوا يقدروا يضغطوا "تجاهل" وييجوا. اللي عملوا كده وسجّلوا دخولهم، سلّموا مفاتيح أموالهم على طبق. زي ما أفاد BleepingComputer، اللي سجّلوا دخولهم اتسرقت منهم المفاتيح الخاصة لمحافظهم، واستخدمها المهاجم لتفريغ الحسابات.
الحصيلة مختلفة شوية بين المصادر، لكن الرقم الأساسي متسق. BleepingComputer بيقول 215 إيثر، ما يعادل 160 ألف دولار، وقت التحويل. CyberScoop أفادت إن اللصوص نجحوا في سرقة 215 إيثر، ما يعادل تقريبًا 152 ألف دولار وقتها. Help Net Security لخّصت إن المهاجمين نجحوا في سرقة حوالي 150 ألف دولار من الإيثر. نفس الـ 215 إيثر؛ الرقم بالدولار بس بيتغير مع سعر الصرف وقت السرقة.
دي الاقتصاديات القاسية لهجوم التوجيه + DNS على محفظة كريبتو. مفيش قسم رد المبالغ، مفيش استرداد، مفيش بنك تتصل بيه. لما المفاتيح الخاصة تُدخَل في موقع مزيف للمهاجم وتتحوّل الأموال على البلوك تشين، راحت.
كيف حصل: اختطف المسار، سمّم الإجابة، شغّل الموقع المزيف
الهجوم ربط فشلين ببعض. أي منهم وحده ما كانش هيجيب نتيجة. مع بعض كانوا مدمرين.
الخطوة الأولى: اختطف المسار لسيرفرات DNS الخاصة بـ Amazon. MyEtherWallet كانت بتستخدم خدمة DNS المُدارة من Amazon. زي ما أشار Help Net Security ببساطة، MyEtherWallet.com بتستخدم خدمة Amazon's Route 53 DNS. المهاجمون ما اخترقوش Route 53. بدلًا من كده، وفق The Register، حد قدر يبعت رسائل BGP – Border Gateway Protocol – لراوترات الأساسية على الإنترنت عشان يقنعها إنها تبعت الترافيك المتوجه لبعض سيرفرات AWS لجهاز خارج السيطرة.
الإعلان اللي عمل ده جه من مكان غير متوقع. أفادت The Register إن كتلة الشبكة AS10297، التابعة لشركة استضافة مواقع ويب في أوهايو اسمها eNet، أعلنت إنها قادرة تستولي على الترافيك المتجه لبعض عناوين IP الخاصة بـ AWS. ولأن BGP بيفضّل المسارات الأكثر تحديدًا وبيثق في أنداده، الإعلان الوهمي انتشر. ويكيبيديا بتسجّل الحجم: تم اختطاف حوالي 1300 عنوان IP داخل فضاء Amazon Web Services، مخصصة لـ Amazon Route 53، من قِبَل eNet (أو أحد عملائها)، مزود خدمة إنترنت في Columbus, Ohio. عدة شركاء peering، زي Hurricane Electric، نشروا الإعلانات بشكل أعمى. "نشروا بشكل أعمى" دي الحكاية كلها لنموذج الثقة في BGP في كلمتين.
الخطوة الثانية: أصبح سيرفر DNS وكذب. لما اتاختطف المسار، الاستعلامات اللي المفروض كانت هتوصل لسيرفرات DNS الحقيقية عند Amazon وصلت بدلًا من كده لجهاز المهاجم. الجهاز ده انتحل شخصية Route 53. The Register وصف النتيجة: الجهاز المارق ده عمل دور خدمة DNS لـ AWS، وأعطى عناوين IP غلط لـ MyEtherWallet.com، ووجّه بعض الزوار المنكودين للـ dot-com لموقع تصيّد. تحليل Kentik بيصوغ نفس الحقيقة من جانب DNS: سيرفر DNS السلطوي المنتحل أرجع ردود وهمية لـ myetherwallet.com، ووجّه المستخدمين لنسخة مزيفة من موقع MyEtherWallet.
الخطوة الثالثة: شغّل الموقع المزيف — من روسيا. ردود DNS المسمومة وجّهت المستخدمين لسيرفر في روسيا بيستضيف المحفظة المزيفة. Help Net Security أفادت إن المهاجمين استخدموا الاختطاف لـ تحويل الترافيك المتجه لـ MyEtherWallet.com لموقع التصيّد المشابه، المستضاف على سيرفر في روسيا.
الضمانة الوحيدة اللي كادت تنجح: الشهادة. هنا الجزء اللي كل قارئ لازم يتوقف عنده. المهاجمون تحكموا في التحليل بتاع الدومين والسيرفر، لكن ما قدروش يعملوا شهادة TLS صالحة لـ myetherwallet.com صادرة من جهة موثوقة. فالمتصفح عمل بالظبط اللي المفروض يعمله — رمى تحذير. Help Net Security وصفه بدقة: الوحيد اللي كشف إن موقع التصيّد مش اللي بيتظاهر بيه كان التحذير اللي ظهر للزوار بإن شهادة TLS المستخدمة في الموقع موقّعة من جهة مجهولة (يعني موقّعة ذاتيًا). BleepingComputer اتفق إن العلامة كانت واضحة لأي حد مُنتبه: الموقع المزيف كان سهل الاكتشاف لأن المهاجمين استخدموا شهادة TLS موقّعة ذاتيًا أطلقت خطأ في كل المتصفحات الحديثة.
لكن "سهل الاكتشاف" بيفترض إن المستخدم بيوقف. ESET's WeLiveSecurity التقط مدى هشاشة الحماية فعليًا: القرينة الوحيدة الواضحة اللي المستخدم العادي كان ممكن يلاحظها كانت رسالة خطأ بتقول إن الموقع بيستخدم شهادة SSL غير موثوقة. المتصفح رفع إيده وقال في حاجة غلط. المستخدمون اللي خسروا فلوس هم اللي ضغطوا "تجاهل" على طول — والضحايا كان عليهم تجاوز رسالة خطأ HTTPS، لأن myetherwallet.com المزيفة كانت بتستخدم شهادة TLS/SSL غير موثوقة.
الاستجابة والتداعيات
الاختطاف ما كانش خفيًا على اللي بيراقبوا التوجيه بشكل احترافي. مراقبو الشبكات شافوا البريفيكسات الوهمية الأكثر تحديدًا تظهر وتختفي في نفس نافذة الساعتين، وبمجرد سحب الإعلان المارق، عاد التوجيه الطبيعي لـ Route 53.
MyEtherWallet نفسها أكدت بشدة إن بنيتها التحتية ما اتاختُرقتش. زي ما شددت الشركة في أعقاب الحادثة مباشرة، المشكلة كانت في سباكة الإنترنت، مش في التطبيق — كان ده اختطاف DNS لمسار التحليل، متحقّق عبر BGP، مش اختراق لسيرفرات أو كود MEW.
الإصلاح الأعمق جاء على مستوى التوجيه. الحادثة أصبحت من أكثر الحجج استشهادًا لدعم RPKI (Resource Public Key Infrastructure) وROAs (Route Origin Authorizations) — سجلات تشفيرية بتخلّي الشبكات تُعلن بطريقة قابلة للتحقق إيه الأنظمة المستقلة المسموح لها تُعلن عن إيه بريفيكسات IP. بوجود ROAs صالحة، إعلان "أنا هاخد عناوين Amazon" من مزود خدمة إنترنت في أوهايو يتصنّف كـ RPKI-invalid ويُسقَط بدل ما ينتشر بشكل أعمى. Kentik بيلاحظ النتيجة بشكل مباشر: لو نُفّذ نفس الإعلان اليوم ضد بريفيكس موقّعة بشكل صحيح، كان هيتقيّم كـ RPKI-invalid. في السنوات اللي بعد هجمات زي دي، الشبكات الكبيرة سرّعت نشر ROAs لهذا النوع بالذات من مسارات التوجيه.
لكن تبنّي RPKI جهد عالمي متعدد السنوات وطوعي الاشتراك. الدرس للبقية كان أبسط وأفوري: أمان الدومين بتاعك بيعتمد على طبقات انت ما بتملكهاش وما بتشوفهاش.
اللي بيعلّمنا BGP وDNS كونهم قايمين على الثقة الافتراضية
الحادثة دي تستاهل الحفظ لأنها بتعكس النموذج الذهني المعتاد لـ"أمان الدومين".
معظم الناس بيفتكروا إن أمان الدومين معناه كلمة مرور قوية للمسجّل، وتحقق بخطوتين، وقفل الدومين. كل ده حقيقي وضروري — وما كانش أي منه هيوقف 24 أبريل 2018. المهاجمون ما لمسوش المسجّل، ما لمسوش سجلات DNS الخاصة بـ MyEtherWallet، ما لمسوش سيرفراتها. السجلات كانت بتقول الصح طول الوقت. الإنترنت بس بطّل يوصّل الاستعلامات للمكان اللي بيحتفظ بيها.
بعض الدروس الثابتة:
-
الدومين بتاعك راكب على ثقة مستعارة. التحليل بيعتمد على BGP، وBGP افتراضيًا مُصمَّم يثق في كل إعلانات الطرق من الأنداد. ممكن تكون عندك إعداد DNS مثالي وبرضو تتاختطف في طبقة تحتها.
-
تسميم DNS ممكن يتحقق من غير ما حد يلمس DNS خالص. اختطف المسار لسيرفر DNS وانت بقيت بتتحكم في الإجابات، حتى لو السجلات السلطوية ما اتلمستش.
-
TLS ضمان حقيقي — وهش في نفس الوقت. تحذير الشهادة كان الشيء الوحيد اللي وقف بين المستخدمين والخسارة الكاملة. نجح تقنيًا وفشل سلوكيًا. إجراء أمني المستخدم يقدر يتجاوزه بضغطة زرار بيبقى قوي بقدر صبر المستخدم بس.
-
نهائية البلوك تشين بترفع شبكة الأمان. لو كان هجوم تسجيل دخول لبنك، الجلسة المسمومة كانت هتبقى وحشة. بالنسبة لمحفظة كريبتو، مرجعتش. نفس الهجوم ضد نوع تاني من المواقع كان ممكن يبقى مخيف بس؛ هنا كانت خسارة دائمة.
-
الدفاع المتعمق لازم يشمل طبقة التوجيه. RPKI/ROA على مستوى الشبكة، مع مراقبة إعلانات الأصل غير المتوقعة لبريفيكساتك، بقت الحد الأدنى المطلوب لأي شيء بقيمة عالية.
الزاوية الخاصة بـ Namefi
هجوم MyEtherWallet تذكير حاد إن الدومين مش حاجة واحدة بتـ"تملكها" — هو كومة من علاقات الثقة، أي طبقة فيها ممكن تتهشّم: الريجيستري، والمسجّل، ومزود DNS، ونسيج التوجيه العالمي اللي بيوصّل الاستعلامات لذلك المزود.
Namefi بتنبي عليها إنها تخلي طبقة الملكية في تلك الكومة قابلة للتحقق ومقاومة للتلاعب. ملكية الدومين المُرمَّزة كتوكن معناها إن التحكم في الدومين يقدر يتثبّت تشفيريًا وينتقل بطريقة قابلة للمراجعة، بدل ما يعتمد بالكامل على كلمة مرور حساب عند مزود واحد — مع الحفاظ على توافقها مع DNS. ده بمفرده ما بيصلّحش BGP؛ ما في طبقة الملكية ما بيعيد كتابة طريقة توجيه الباكيتات على الإنترنت. لكنه بيهاجم نفس المرض الأساسي اللي كشفته هذه الحادثة: كتير جدًا من ثقة الإنترنت الحيوية ضمنية وغير قابلة للتحقق وقابلة للعكس من أي حد يقدر يزوّر الرسالة الصح.
مستقبل أمان الدومين شبهه أقل بكلمة مرور قوية واحدة وأكتر بإثبات تشفيري على كل طبقة — ملكية قابلة للتحقق، توجيه قابل للتحقق (RPKI)، هوية قابلة للتحقق (TLS). مستخدمو MyEtherWallet خسروا فلوسهم في الفجوة بين تلك الطبقات. إغلاق الفجوة دي، طبقة قابلة للتحقق في كل مرة، هو المشروع كله.
سجلات الدومين ما كانتش غلط في 24 أبريل 2018. الإنترنت بس صدّق كدبة في طريقة الوصول ليها. إثبات "مين يمتلك إيه، وكيف توصله" بدل ما يبقى افتراض هو الطريقة اللي بتضمن إن الإعلان المزوّر الجاي هيتسقَط بدل ما يُطاع.
المصادر وقراءات إضافية
- The Register — Cryptocurrency thieves snatch ~$150k after BGP hijack reroutes MyEtherWallet DNS
- BleepingComputer — Hacker Hijacks DNS Server of MyEtherWallet to Steal $160,000
- Help Net Security — MyEtherWallet users robbed after successful DNS hijacking attack
- CyberScoop — Amazon DNS service server hijacked for $152,000 Ether theft
- ESET WeLiveSecurity — Ethereum cryptocurrency wallets raided after Amazon's internet domain service hijacked
- Kentik — What can be learned from recent BGP hijacks targeting cryptocurrency services?
- Wikipedia — BGP hijacking
- Bob Cromwell — BGP Hijacking
- Neptune Mutual — How Was MEW (MyEtherWallet) DNS Spoofed?
- WCCFTech — Hackers Hijacked DNS Servers to Steal from MyEtherWallet Users
عن الكاتب/الكاتبة
أدلة ذات صلة
- الدقيقة الـ 12 دولار: لما حد اشترى Google.com بهدوء تامفي سبتمبر 2015، موظف سابق في Google اشترى google.com من خلال Google Domains بـ 12 دولار، وامتلك السيطرة الإدارية على أثمن نطاق في العالم لمدة دقيقة تقريباً. قصة سانماي فيد، ومكافأة الـ 6,006.13 دولار، وما تكشفه دقيقة واحدة من الملكية عن مَن يتحكم فعلاً في النطاق.
- Domain Mayday EP03: اختراق حسابات تويتر بالبيتكوين عام 2020في 15 يوليو 2020، تمكّن مهاجمون من اختراق تويتر عن طريق مكالمة تليفونية، واستولوا على حسابات موثّقة لأوباما وبايدن وماسك وجيتس وآبل وأوبر، ونفّذوا عملية احتيال بالبيتكوين جمعوا فيها نحو 118 ألف دولار. تحليل معمّق لكيفية سرقة هوية رقمية، وما يمكن تعلّمه عن امتلاك اسم على الإنترنت.
- نداء الطوارئ EP05: اختطاف نطاقات DeFi الجماعي على Squarespace 2024في يوليو 2024، حوّلت عملية نقل نطاقات من Google Domains إلى Squarespace إعدادات المصادقة الضعيفة إلى ثغرة جماعية واسعة النطاق. استغل المهاجمون الثغرة واختطفوا نطاقات مشاريع كريبتو و DeFi كبرى — Compound Finance وCeler Network وPendle وUnstoppable Domains — وأعادوا توجيهها نحو مواقع تصيد لاستنزاف المحافظ. إليك كيف خلّفت عملية نقل "سلسة" مئات الأبواب الأمامية مفتوحة دون قفل، وما يمكننا تعلمه في مجال أمان مسجلي النطاقات والمصادقة الثنائية.
- هجوم BadgerDAO على الواجهة الأمامية: 120 مليون دولار اتسرّبت بسبب سكريبت واحد مُدرجفي ديسمبر 2021، اخترق المهاجمون حساب Cloudflare الخاص بـ BadgerDAO وحقنوا سكريبتًا خبيثًا في واجهة الموقع الأمامية. العقود الذكية المُدققة لم تُمسّ — لكن ~120 مليون دولار خرجت من الباب عبر موافقات المحافظ التي وقّعها المستخدمون دون أن يعلموا. تحليل معمّق لماذا الموقع الإلكتروني جزء من نطاق أمانك.