آبل تتصدى لتطبيق محفظة عملات رقمية مزيف سرق ملايين الدولارات من مستخدمي ماك

تخيّل أن تثق بمتجر التطبيقات الرسمي على حاسوبك، تحمّل تطبيقاً يبدو مألوفاً ويحمل اسماً معروفاً، ثم تكتشف بعد أيام أن مدخراتك الرقمية اختفت بالكامل. هذا بالضبط ما حدث لعشرات مستخدمي ماك بعد تسلل تطبيق مزيّف لمحفظة عملات رقمية إلى متجر Mac App Store، قبل أن تزيله آبل بعد سرقة نحو 9.5 ملايين دولار من العملات المشفّرة.

بحسب تقرير نشره موقع CoinDesk، نجح تطبيق ينتحل هوية Ledger Live، وهي المحفظة الرسمية التابعة لشركة Ledger، في خداع أكثر من 50 مستخدماً بين 7 و13 أبريل. التطبيق استغل الثقة المرتبطة باسم Ledger ووجوده داخل متجر آبل الرسمي، ليطلب من المستخدمين إدخال عبارة الاسترداد السرّية الخاصة بمحافظهم.

وهنا تحديداً يكمن الفخ. التطبيقات الأصلية للمحافظ الرقمية لا تطلب من المستخدم إدخال عبارة الاسترداد داخل تطبيق يتم تحميله حديثاً، لأن هذه العبارة هي المفتاح الكامل للوصول إلى الأصول الرقمية. إدخالها يعني عملياً منح السيطرة الكاملة على العملات المشفّرة لأي جهة تمتلكها.

السؤال الأكثر إلحاحاً: كيف اجتاز التطبيق المزيّف عملية مراجعة آبل؟ فشركة آبل لطالما قدّمت نظامها البيئي المغلق على أنه أكثر أماناً، بفضل تدقيق التطبيقات قبل نشرها على المتجر. ومع ذلك، بقي التطبيق متاحاً لما يقارب أسبوعين، وهي مدة كافية لتكبيد الضحايا خسائر وصلت لدى ثلاثة منهم إلى مبالغ سباعية.

لا توجد حتى الآن توضيحات رسمية من آبل حول كيفية مرور التطبيق عبر الفحص. لكن الحادثة تفتح باباً للحديث عن حدود أنظمة المراجعة الآلية والبشرية، خاصة في فئة حساسة مثل تطبيقات العملات الرقمية، حيث تكفي واجهة مقنعة ونصوص منسوخة بعناية لإتمام الخدعة.

الأموال المسروقة جرى تحويلها عبر منصة KuCoin، ثم تمريرها من خلال خدمة خلط تُعرف باسم AudiA6، وهي أدوات تُستخدم لإخفاء أثر المعاملات على شبكة البلوك تشين مقابل رسوم مرتفعة. هذا النوع من الخدمات يزيد تعقيد عمليات التتبع، حتى مع شفافية سلاسل الكتل.

ورغم أن تقنيات البلوك تشين تتيح تتبع العناوين والمعاملات، فإن استعادة الأموال تظل مهمة شبه مستحيلة عندما تنتقل الأصول بسرعة بين محافظ متعددة ومنصات تداول وخدمات خلط.

المحقق المعروف على منصات التواصل ZachXBT أشار إلى احتمال مواجهة آبل دعاوى قضائية جماعية، نظراً لحجم المبالغ المسروقة ولأن التطبيق كان منشوراً عبر قناة رسمية يفترض أنها آمنة. هنا لا يتعلق الأمر بعملية تصيّد تقليدية عبر بريد إلكتروني مجهول، بل بتطبيق وُجد داخل متجر الشركة نفسها.

المعضلة أن متاجر التطبيقات تلعب دور الحارس الرقمي، لكنها في الوقت ذاته تعتمد على مزيج من الأتمتة والثقة المسبقة بالمطورين. ومع تصاعد قيمة الأصول الرقمية، تصبح هذه المتاجر هدفاً جذاباً لعمليات احتيال أكثر احترافية.

ما حدث يتجاوز كونه عملية احتيال تقليدية؛ إنه تذكير بأن الثقة الرقمية أصبحت عملة موازية للعملات المشفّرة نفسها. كلما زادت بساطة الوصول إلى الأصول عبر تطبيقات أنيقة وواجهات مألوفة، ارتفع أيضاً سقف المخاطر المرتبطة بها. الفاصل بين الأمان والوهم قد يكون مجرد شعار صحيح في المكان الخطأ.

في النهاية، تكشف هذه الحادثة أن معركة الأمان السيبراني لا تُحسم بشعار “متجر رسمي” أو نظام مغلق. إنها معادلة مستمرة بين يقظة المستخدم، وصرامة المنصات، وابتكار المحتالين الذين يراهنون دائماً على لحظة ثقة غير محسوبة.