اكتُشف خلل قاتل في شريحة Solana Seeker! Ledger تكشف عن ثغرة كهربائية تُمكّن من سرقة المفاتيح الخاصة ولا يمكن إصلاحها

كشف مختبر الأمن الباريسي Ledger Donjon عن بحث يشير إلى وجود ثغرة في Boot ROM غير قابلة للإصلاح عبر تحديثات البرامج في ملايين هواتف أندرويد المزودة بمعالج MediaTek Dimensity 7300، حيث أن هاتف التشفير Solana Seeker يستخدم نفس المعالج. استخدم الباحثون تقنية “حقن الأعطال الكهرومغناطيسية” (EMFI) للاستحواذ على أعلى صلاحيات النظام EL3، مما يتيح لهم قراءة المفاتيح الخاصة لمحافظ التشفير.

ثغرة Boot ROM: فشل الفحص الأمني في لحظة الإقلاع

Boot ROM هو الكود الوحيد القابل للتنفيذ عند تشغيل المعالج، ويُعتبر بمثابة الحمض النووي للأجهزة. أوضح Ledger Donjon في مدونته الرسمية أن المهاجمين يمكنهم، عبر حقن نبضة كهرومغناطيسية محددة في أولى ميكروثواني من تشغيل معالج ميدياتك، تعطيل الفحوصات الأمنية مؤقتًا، ثم تنفيذ أي برنامج مباشرة على مستوى EL3. مستوى EL3 (Exception Level 3) هو أعلى مستوى صلاحية في بنية ARM، ويمنح البرامج إمكانية الوصول إلى جميع موارد النظام، بما في ذلك المفاتيح المشفرة المخزنة في المنطقة الآمنة.

ونظرًا لأن Boot ROM يُكتب على شريحة السيليكون أثناء التصنيع، فهو كود ثابت لا يمكن لشركة ميدياتك إصلاحه بتحديثات البرامج الثابتة. يختلف ذلك جذريًا عن ثغرات البرمجيات التي يمكن ترقيعها بتحديثات لاحقة، بينما عيوب العتاد دائمة. الطريقة الوحيدة للتخلص من الخطر هي استبدال الشريحة بالكامل، وهو أمر مستحيل بالنسبة للملايين من الهواتف المباعة بالفعل.

هذه الخاصية غير القابلة للإصلاح تجعل مشكلة الأمان في معالج Dimensity 7300 خطيرة بشكل خاص. وقد أقرت شركة ميدياتك بوجود الثغرة، لكنها وصفتها بأنها “خارج نطاق” نموذج التهديد المفترض، لأن Dimensity 7300 مخصص في الأصل للتطبيقات المتعددة الوسائط، الذكاء الاصطناعي، والاستخدام اليومي وليس للخزائن البنكية. وهذا الدفاع قد يكون مقبولًا تقنيًا، لكنه يُعد خطأ في التصميم بالنسبة لهاتف مثل Solana Seeker المصمم لإدارة الأصول المشفرة.

نافذة الهجوم على Boot ROM قصيرة للغاية. يتطلب الأمر من الباحثين تحكمًا دقيقًا في توقيت تشغيل المعالج وحقن النبضات الكهرومغناطيسية في ميكروثواني محددة. يحتاج ذلك إلى معدات عالية التخصص ومعرفة تقنية متقدمة، مثل أجهزة رصد الذبذبات، مولدات النبضات الكهرومغناطيسية وأنظمة تحكم في التوقيت دقيقة. بالنسبة للصوص العاديين، هذا الهجوم صعب جدًا وغير مجدٍ اقتصاديًا. لكن بالنسبة لعصابات الجريمة المنظمة المستهدفة لأهداف ذات قيمة عالية في العملات المشفرة، يصبح هذا الهجوم واقعيًا تمامًا.

تقييم التهديد الفعلي لهجوم حقن الأعطال الكهرومغناطيسية

يتطلب هذا الهجوم اتصالًا فعليًا بالجهاز واستخدام معدات متخصصة، وهو يختلف عن الهجمات البعيدة “بدون لمس”. في المختبر، معدل النجاح لكل محاولة حقن كهرومغناطيسي يتراوح بين 0.1% إلى 1% فقط، وهو معدل يبدو منخفضًا، لكن بوجود أجهزة آلية يمكن تكرار المحاولة آلاف المرات في بضع دقائق. إذا افترضنا معدل نجاح 0.5%، فإن فرصة النجاح التراكمية بعد 1000 محاولة تصل إلى حوالي 99.3%. هذا يعني أنه مع الوقت والمعدات الكافية، سيحقق المهاجم النجاح شبه المؤكد.

بالنسبة للمستخدمين العاديين، غالبًا ما يقتصر خطر سرقة الهواتف على إعادة بيع العتاد. عادة ما يقوم اللصوص بمسح الجهاز وبيعه سريعًا، دون محاولة اختراق بيانات المستخدم. ولكن بالنسبة لمن يمتلكون أصولًا مشفرة ضخمة (Crypto Whale)، فالوضع مختلف تمامًا. إذا تم التأكد أن مالك هاتف Solana Seeker يمتلك ملايين الدولارات من الأصول المشفرة، فقد تستهدفه عصابات محترفة وتسرق الهاتف وتشن هجوم حقن الأعطال الكهرومغناطيسية عليه.

وهذا يعني أنه إذا كانت المفاتيح الخاصة مخزنة على هذا الهاتف، فهناك احتمال أن يتمكن المجرمون من اختراقه ماديًا والحصول على أعلى صلاحيات النظام. بمجرد الحصول على صلاحية EL3، يمكن للمهاجم تجاوز جميع مستويات الحماية البرمجية، بما فيها قفل الشاشة، بصمة الإصبع، وآليات حماية المحفظة. لم تعد قفل الشاشة أو البصمة خط الدفاع الأخير، لأن كلاهما يعمل على مستوى البرمجيات، بينما صلاحية EL3 تتيح قراءة المفاتيح الخاصة الأصلية مباشرة من المنطقة الآمنة.

الخصائص الخمس لهجوم حقن الأعطال الكهرومغناطيسية

يتطلب اتصالًا فعليًا: يجب الوصول المباشر إلى لوحة الجهاز، ولا يمكن تنفيذه عن بعد

حاجة لمعدات متخصصة: يتطلب مولد نبضات كهرومغناطيسية، أجهزة رصد ذبذبات، وغيرها من المعدات باهظة الثمن

معدل نجاح منخفض لكل محاولة: نسبة النجاح في كل محاولة من 0.1% إلى 1%

قابلية التكرار الآلي: يمكن تكرار المحاولة آلاف المرات خلال دقائق باستخدام أجهزة أوتوماتيكية

يستهدف الأهداف ذات القيمة العالية: مجدٍ اقتصاديًا فقط لمن يمتلك أصولًا ضخمة

برّز تقرير Ledger أهمية المحافظ الصلبة الخارجية، مؤكداً أن وحدة الأمان المستقلة وحدها يمكنها فصل الأداء عن الحماية. تستخدم محافظ Ledger الصلبة شريحة أمان مصممة خصيصًا (Secure Element) لحماية المفاتيح، وتتمتع بقدرة مقاومة للهجمات الفيزيائية. حتى في حال التعرض لحقن كهرومغناطيسي أو أي هجوم مادي آخر، يمكن لوحدة الأمان اكتشاف التلاعب والتدمير الذاتي أو الإغلاق، مما يمنع تسرب المفاتيح الخاصة.

الفرق الجوهري بين معالجات المستهلك ووحدات الأمان

MediaTek Dimensity 7300 هو معالج مخصص للاستخدام الاستهلاكي، حيث تُعطى الأولوية للأداء، استهلاك الطاقة والتكلفة وليس الأمان البنكي. هذه ليست مشكلة ميدياتك، بل نتيجة طبيعية لتوجه المنتج. يحتاج معالج المستهلك إلى تخفيض التكاليف في سوق تنافسي، ولا يمكنه الاستثمار في حماية فيزيائية كما في شرائح الأمان المتخصصة.

في المقابل، تستخدم وحدات الأمان المتخصصة كـ Ledger آليات حماية متعددة الطبقات، مثل: شبكة معدنية لكشف التلاعب الفيزيائي، مراقبة الجهد والتردد لرصد العمليات غير الطبيعية، مستشعرات حرارة للحماية من الهجمات البيئية الشديدة، وأنظمة دفاع نشطة لمسح البيانات الحساسة تلقائيًا عند اكتشاف الهجوم. كل هذه التصاميم تجعل استخراج المفاتيح الخاصة مكلفًا للغاية حتى للمهاجمين ذوي المعدات المتطورة والخبرة العالية.

قرار استخدام معالج استهلاكي في هاتف Solana Seeker المخصص للتشفير يُعد تناقضًا جوهريًا. نقطة بيع الهاتف الأساسية هي الأمان، لكن الأساس العتادي لا يمكنه توفير مستوى الحماية الذي توفره المحافظ الصلبة المتخصصة. يمتلك Seeker وظيفة Seed Vault على مستوى البرمجيات لحماية المفاتيح الخاصة. لكن عند وجود ثغرة يمكن تجاوزها بهجوم مادي، تصبح حماية البرمجيات هشة.

أما عن مدى تأثر وظيفة Seed Vault في Solana Seeker بهذه الثغرة وتأثيرها على أمان الهاتف، فلا تتوفر أي معلومات أو رد رسمي حتى الآن. هذا الصمت أدى إلى تصاعد الشكوك في المجتمع، ولا تزال الأخبار بحاجة لمزيد من التأكيد. يجب على Solana Foundation ومصنع Seeker تقديم توضيح علني حول تقييمهم لتأثير هذه الثغرة على أمان أصول المستخدمين.

عمليات سرقة سنوية بقيمة 2.17 مليار دولار ونصيحة بإدارة الأصول على طبقات

منذ مطلع 2025، بلغت قيمة الأصول المسروقة من منصات العملات المشفرة عالمياً 2.17 مليار دولار، متجاوزة إجمالي عام 2024. في ظل هذا الضغط المزدوج من السرقات والثغرات العتادية، يحذر خبير الأمن Eric: “إذا كان مفتاح خزنتك مصنوعًا من البلاستيك، فلا تلوم اللص إذا أحرقه بولاعة.” هذا التشبيه يصف الوضع الحالي بدقة: استخدام معالج استهلاكي لحماية أصول ضخمة من العملات المشفرة يشبه استخدام مفتاح بلاستيكي لحماية خزنة.

ينصح المستخدمين بنقل معظم الأصول إلى محافظ باردة غير متصلة بالإنترنت، والاحتفاظ فقط برصيد بسيط للمدفوعات اليومية على الهاتف. هذه الاستراتيجية في إدارة الأصول على طبقات هي مبدأ أساسي في أمان العملات المشفرة. كما هو الحال في النظام المالي التقليدي، فلا أحد يحتفظ بكل أمواله في محفظته، بل يضع معظمها في خزنة البنك. في مجال العملات المشفرة، المحفظة الباردة هي الخزنة، ومحفظة الهاتف هي المحفظة اليومية.

البنية الثلاثية لإدارة الأصول المشفرة على طبقات

تخزين في المحافظ الباردة: أكثر من 90% من الأصول تُخزّن في محافظ صلبة مثل Ledger وTrezor، ويتم الاحتفاظ بها دون اتصال نهائي

محفظة الهاتف الساخنة: لا يُحتفظ فيها إلا بـ 5% إلى 10% من الأصول للمعاملات اليومية والتفاعل مع DeFi

حسابات منصات التداول: لا تتجاوز 5% للأغراض التداولية النشطة، مع تفعيل أعلى إعدادات الأمان

بالنسبة للمؤسسات الاستثمارية، أصبح من الضروري مراجعة دور الأجهزة المحمولة في إدارة المخاطر، وتبني التوقيع المتعدد والعزل العتادي. تدير المؤسسات عادة عشرات أو مئات الملايين من الدولارات من الأصول المشفرة، ولا يمكنها الاعتماد على محفظة هاتف واحدة. يتطلب التوقيع المتعدد موافقة العديد من الأجهزة المستقلة لإنجاز المعاملة، لذا حتى إذا تم اختراق أحد الأجهزة، تظل الأصول آمنة. أما العزل العتادي فهو فصل إدارة المفاتيح الخاصة عن العمليات اليومية، وتخزينها على أجهزة منفصلة غير متصلة بالإنترنت نهائيًا.

بحث Ledger يسلط الضوء على حقيقة قاسية: في عالم العملات المشفرة، الأمان دائمًا له الأولوية القصوى، ويجب أن تضحى الراحة من أجل الحماية. حاولت Solana Seeker تقديم تجربة إدارة أصول مشفرة مريحة على الهاتف، وهذه رؤية جميلة، لكن عندما يكون هناك خلل أمني جوهري في العتاد، قد تتحول هذه الراحة إلى بذرة كارثة.