العقود الآجلة
وصول إلى مئات العقود الدائمة
TradFi
الذهب
منصّة واحدة للأصول التقليدية العالمية
الخیارات المتاحة
Hot
تداول خيارات الفانيلا على الطريقة الأوروبية
الحساب الموحد
زيادة كفاءة رأس المال إلى أقصى حد
التداول التجريبي
مقدمة حول تداول العقود الآجلة
استعد لتداول العقود الآجلة
أحداث مستقبلية
"انضم إلى الفعاليات لكسب المكافآت "
التداول التجريبي
استخدم الأموال الافتراضية لتجربة التداول بدون مخاطر
إطلاق
CandyDrop
اجمع الحلوى لتحصل على توزيعات مجانية.
منصة الإطلاق
-التخزين السريع، واربح رموزًا مميزة جديدة محتملة!
HODLer Airdrop
احتفظ بـ GT واحصل على توزيعات مجانية ضخمة مجانًا
منصة الإطلاق
كن من الأوائل في الانضمام إلى مشروع التوكن الكبير القادم
نقاط Alpha
تداول الأصول على السلسلة واكسب التوزيعات المجانية
نقاط العقود الآجلة
اكسب نقاط العقود الآجلة وطالب بمكافآت التوزيع المجاني
المزيد
هاكرز يندسّون رمزًا لسرقة محافظ العملات الرقمية في أداة ذكاء اصطناعي شهيرة تعمل في كل مرة
أدى إصدارٌ مُسمٍّ من LiteLLM إلى تحويل تثبيت Python الروتيني إلى مستيلٍ للسرّيات مُدرِكٍ للتشفير، كان يبحث عن المحافظ ومواد مُدقّق Solana وإعتمادات السحابة في كل مرة يبدأ فيها Python.
في 24 مارس، بين 10:39 بتوقيت UTC و16:00 بتوقيت UTC، قام مهاجم تمكن من الوصول إلى حساب مُشرف بنشر نسختين خبيثتين من LiteLLM على PyPI: 1.82.7 و1.82.8.
يُسوّق LiteLLM نفسه على أنه واجهة موحّدة لأكثر من 100 مزود لنماذج اللغة الكبيرة، وهي صيغة تضعه—عن قصد—داخل بيئات تطوير غنية بالبيانات الاعتمادية. تُسجّل إحصاءات PyPI 96,083,740 عملية تنزيل في الشهر الماضي وحده.
حملت البنيتان مستويات مختلفة من المخاطر. في الإصدار 1.82.7 كان يلزم استيراد مباشر لـ litellm.proxy لتنشيط حمولته (payload)، بينما قام الإصدار 1.82.8 بزرع ملف .pth (litellm_init.pth) داخل تثبيت Python.
تؤكد وثائق Python نفسها أن الأسطر القابلة للتنفيذ داخل ملفات .pth تعمل في كل بدء تشغيل لـ Python، لذا نفّذ 1.82.8 نفسه دون أي استيراد على الإطلاق. أي جهاز كان قد ثبت عليه نفّذ كودًا مُخترقًا فور تشغيل Python في المرة التالية.
تُقدّر FutureSearch 46,996 عملية تنزيل خلال 46 دقيقة، حيث شكّل 1.82.8 منها 32,464.
بالإضافة إلى ذلك، احتسبت 2,337 حزمة على PyPI تعتمد على LiteLLM، وسمحت 88% منها بنطاق النسخ المُخترَبة وقت الهجوم.
حذّرت صفحة الحوادث التابعة لـ LiteLLM من أن أي شخص دخلت شجرة اعتماده إلى LiteLLM عبر قيدٍ عابر غير مُقيَّد (unpinned transitive constraint) خلال تلك النافذة يجب أن يتعامل مع بيئته باعتبارها قد تكون مُعرّضة.
أكد فريق DSPy أنه كانت لديه قيد لـ LiteLLM هو “superior or equal to 1.64.0”، وحذّر من أن عمليات التثبيت الجديدة خلال النافذة قد تكون حلت إلى البنيات المُسمّمة.
مُصمّم للصيد في مجال التشفير
يُظهر تحليل SafeDep العكسي للحمولة أن استهداف التشفير مذكور بشكلٍ صريح.
بحثت البرمجية الخبيثة عن ملفات إعداد محافظ Bitcoin وعن ملفات wallet*.dat، وعن أدلة مفاتيح Ethereum keystore، وعن ملفات إعداد Solana ضمن ~/.config/solana.
يقول SafeDep إن المُجمّع (collector) تعامل مع Solana معاملة خاصة، مُظهرًا عمليات بحث مُستهدفة لأزواج مفاتيح المُدقّق، ومفاتيح حسابات التصويت، ودلائل نشر Anchor.
تحدد وثائق مطوري Solana مسار زوج المفاتيح الافتراضي عبر CLI عند ~/.config/solana/id.json. وتصف وثائق المُدقّق الخاصة بـ Anza ثلاث ملفات سلطة (authority) محورية لعمل المُدقّق، وتذكر أن سرقة الموقِّع/المسحوب المخوّل (authorized withdrawer) تمنح المهاجم تحكمًا كاملاً في عمليات المُدقّق والجوائز.
كما يحذر Anza أيضًا من أن مفتاح السحب يجب ألا يبقى على جهاز المُدقّق نفسه.
يقول SafeDep إن الحمولة قامت بحصاد مفاتيح SSH ومتغيرات البيئة واعتمادات السحابة وأسرار Kubernetes عبر مساحات (namespaces). وعندما عثرت على بيانات اعتماد AWS صالحة، استعلمت عن AWS Secrets Manager وSSM Parameter Store للحصول على معلومات إضافية.
كما أنشأت Pods مميزة إعداد عقدة privileged node-setup-* في kube-system وثبّتت الاستمرارية عبر sysmon.py ووحدة systemd.
بالنسبة لفرق التشفير، يتجه الخطر المُركّب في اتجاه محدد. يمكن لمُستيل معلومات (infostealer) يجمع ملف محفظة إلى جانب عبارة المرور أو سرّ النشر أو رمز CI أو اعتماد الكتلة (cluster credential) من نفس المضيف أن يحوّل حادثة بيانات اعتماد إلى استنزاف محفظة، أو نشر عقدٍ خبيث، أو اختراق المُوقّع (signer).
Related Reading
Curve Finance TVL يتراجع بما يفوق 1B دولار بعد استغلال ثغرة Vyper
أصبح رمز CRV لدى Curve شديد التقلب بعد الهجوم، ما أثار مخاوف من عدوى.
Jul 31, 2023 · Oluwapelumi Adejumo
The malware assembled exactly that combination of artifacts.
هذا الهجوم جزء من حملة أوسع، إذ تربط ملاحظة حادثة LiteLLM الاختراق بحادثة Trivy السابقة، وتصف Datadog وSnyk كليهما LiteLLM باعتباره مرحلة لاحقة في سلسلة TeamPCP متعددة الأيام انتقلت عبر عدة منظومات تطوير قبل الوصول إلى PyPI.
تعمل منطقية الاستهداف بثبات عبر الحملة: توفر أداة بنية تحتية غنية بالأسرار (secrets) وصولاً أسرع إلى مواد قريبة من المحافظ.
النتائج المحتملة لهذه الحلقة
يعتمد السيناريو الإيجابي على سرعة الكشف، وغياب—حتى الآن—سرقة تشفير مؤكدة بشكل علني.
قامت PyPI بعزل النسختين بحلول حوالي 11:25 UTC في 24 مارس. أزال LiteLLM البنيتين الخبيثتين، وقام بتدوير بيانات اعتماد المُشرف، وتواصل مع Mandiant. وتُظهر PyPI حاليًا 1.82.6 كآخر إصدار ظاهر.
إذا قام المدافعون بتدوير الأسرار، وقاموا بمراجعة litellm_init.pth، وتعاملوا مع المضيفات المُعرّضة على أنها “محروقة” (burned) قبل أن يتمكن الخصوم من تحويل الأصول المُستخرجة إلى استغلال فعّال، فإن الضرر سيظل محصورًا في تعريض بيانات الاعتماد.
تُسرّع الحادثة أيضًا اعتماد ممارسات كانت بالفعل تكتسب زخمًا. يستبدل “Trusted Publishing” في PyPI رموز API اليدوية الطويلة العمر بهوية قصيرة العمر مدعومة بـ OIDC، وقد تبنّته حوالي 45,000 مشروع بحلول نوفمبر 2025.
CryptoSlate Daily Brief
Daily signals, zero noise.
عناوين تؤثر في السوق والسياق تُسلّم كل صباح في قراءة مركزة واحدة.
5-minute digest 100k+ readers
Email address
Get the brief
Free. No spam. Unsubscribe any time.
Whoops, looks like there was a problem. Please try again.
You’re subscribed. Welcome aboard.
تضمنت حادثة LiteLLM إساءة استخدام بيانات اعتماد الإصدارات، ما يجعل من الصعب جدًا رفض القضية عند التفكير في تبديل المسار (switching).
بالنسبة لفرق التشفير، تخلق الحادثة حالة استعجال لفصل الأدوار بشكل أدق: سحّابو المُدقّق الباردون (cold validator withdrawers) معزولون تمامًا وغير متصلين، وموقّعو نشر معزولون، واعتمادات سحابة قصيرة العمر، ورسومات بيانية للاعتماديات مقفلة.
يشير تثبيت الفريق السريع (pinning) لدى DSPy وإرشادات LiteLLM بعد الحادثة إلى أن معيار المعالجة بالإصلاح (remediation) يجب أن يكون “بنيات محكمة (hermetic builds)”.
يُرسم مخطط زمني يبيّن نافذة اختراق LiteLLM من 10:39 UTC إلى 16:00 UTC في 24 مارس، مع تعليقات على 46,996 تنزيلًا مباشرًا خلال 46 دقيقة ونطاق انفجار لاحق لعدد 2,337 حزمة PyPI تابعة تعتمد عليها، و88% منها سمحت بنطاق النسخة المُخترَبة.
يتمحور السيناريو السلبي على التأخر. وثّق SafeDep حمولة قامت بنقل الأسرار (exfiltrated) وبتنفيذ الانتشار داخل عناقيد Kubernetes وتثبيت الاستمرارية قبل الكشف.
قد لا يكتشف مشغّل قام بتثبيت اعتماد مُسمّم داخل build runner أو بيئة متصلة بالكتلة في 24 مارس النطاق الكامل لهذا التعريض إلا بعد أسابيع. مفاتيح API المُسرَّبة وأوراق اعتماد النشر وملفات المحافظ لا تنتهي صلاحيتها عند حدوث الكشف. يمكن للخصوم الاحتفاظ بها وتنفيذها لاحقًا.
يضع Sonatype التوفر الخبيث عند “على الأقل ساعتين”؛ وتغطي إرشادات LiteLLM عمليات التثبيت حتى 16:00 UTC؛ ويعود طابع العزل (quarantine) لدى FutureSearch إلى 11:25 UTC.
لا يمكن للفرق الاعتماد فقط على تصفية الطوابع الزمنية لتحديد مستوى تعريضهم، لأن هذه الأرقام لا تقدم “إشارة زوال خطر” واضحة.
أخطر سيناريو ضمن هذه الفئة يتمحور حول بيئات المشغّل المشتركة. تبادل تشفير، أو مشغّل مُدقّق، أو فريق جسور (bridge team)، أو مزود RPC قام بتثبيت اعتماد عابر مُسمّم داخل build runner كان سيُعرّض مستوى تحكم كامل (control plane) بالكامل.
تُعد عمليات تفريغ أسرار Kubernetes عبر المساحات (namespaces) وإنشاء Pods مميزة ضمن namespace kube-system أدوات وصول إلى مستوى التحكم مصممة لحركة جانبية (lateral movement).
إذا وصلت تلك الحركة الجانبية إلى بيئة كانت فيها مواد مُدقّق “سخنة” أو شبه “سخنة” (hot أو semi-hot) موجودة على أجهزة يمكن الوصول إليها، فقد تتراوح العواقب من سرقة بيانات اعتماد فردية إلى اختراق سلطة المُدقّق.
يُتبع مخطط تدفق من خمس مراحل مسار الهجوم من تثبيت عابر مُسمّم لـ LiteLLM عبر تنفيذ بدء تشغيل Python تلقائي، وحصاد الأسرار، وتوسع Kubernetes على مستوى التحكم حتى النتائج المحتملة في مجال التشفير.
أغلقت إجراءات العزل لدى PyPI واستجابة حادثة LiteLLM نافذة التوزيع النشطة.
يجب على الفرق التي قامت بتثبيت LiteLLM أو ترقية LiteLLM في 24 مارس، أو التي شغلت عمليات بناء ببدائل اعتماد عابر غير مُقيَّدة تم حلها إلى 1.82.7 أو 1.82.8، أن تعامل بيئاتها باعتبارها مُخترَبة بالكامل.
تتضمن بعض الإجراءات تدوير جميع الأسرار المتاحة من المضيفات المُعرّضة، وإجراء تدقيق بحثًا عن litellm_init.pth، وإلغاء وإعادة إصدار بيانات اعتماد السحابة، والتحقق من عدم توفر أي مواد سلطة مُدقّق من تلك المضيفات.
تُوثّق حادثة LiteLLM مسارًا لمهاجم كان يعرف بدقة الملفات خارج السلسلة (off-chain) التي يجب البحث عنها، وكان لديه آلية تسليم مع عشرات الملايين من التنزيلات الشهرية، وبنى الاستمرارية قبل أن يسحب أي شخص البنيات من التوزيع.
كانت الآلية خارج السلسلة التي تنقل وتحمي التشفير موجودة مباشرة ضمن مسار البحث في الحمولة.
ذُكر في هذا المقال
Bitcoin Ethereum Solana
تم النشر في
Featured Hacks Crime Solana Web3
المؤلف عرض الملف الشخصي →
Gino Matos
Reporter • CryptoSlate
Gino Matos خريج كلية الحقوق ومراسل مُحترف ذو ست سنوات من الخبرة في صناعة التشفير. تتركز خبرته بشكل أساسي على منظومة البلوكشين البرازيلية والتطورات في التمويل اللامركزي (DeFi).
@pelicamatos LinkedIn
Editor عرض الملف الشخصي →
Liam ‘Akiba’ Wright
Editor-in-Chief • CryptoSlate
يُعرف أيضًا باسم “Akiba”، Liam Wright هو رئيس التحرير في CryptoSlate وعضو تقديم SlateCast. يعتقد أن التكنولوجيا اللامركزية لديها القدرة على إحداث تغيير إيجابي واسع النطاق.
@akibablade LinkedIn
Context
Related coverage
بدّل الفئات للتعمق أكثر أو الحصول على سياق أوسع.
Regulation
SEC تخفّض ضغط KYC بشكل كبير على Bitcoin وXRP وSolana عبر قواعد تشفير مُحدّثة
SEC تعيد تعريف مشهد التشفير بتصنيف جديد، وتضع حدودًا وتمنح مساحة لابتكارات الخصوصية.
2 weeks ago
Tokenization
Wall Street تبني على Solana رغم سمعتها في الميم كوينز
هيكل سكّ/إصدار واسترداد Ondo على مدار 24/5 يحافظ على الأوراق المالية لدى broker-dealers بينما تتولى Solana طبقة النقل.
2 weeks ago
Tether ما زال يحتفظ بمزيد من النقد، لكن Circle’s USDC يتحرك الآن بما في ذلك المزيد من أموال التشفير
Stablecoins · 3 weeks ago
سجل XRP قلب Solana في قيمة توكين RWA وعدد الحملة يكشف السبب
Tokenization · 2 months ago
ثغرة مخيفة في Solana كشفت مدى سهولة توقف الشبكة “دائمة التشغيل” بسبب الهجمات
Analysis · 2 months ago
الهجوم العام على Solana ضد Starknet يكشف كيف أن مليارات “mercenary” volume يتم ضخ قيم الشبكة لها اصطناعًا الآن
DeFi · 3 months ago
Hacks
Circle تحت الهجوم بعد تدفق 230M دولار من USDC المسروق دون حظر بعد أيام من تجميد الحسابات الشرعية
تكشف ثغرة Drift عن تناقض متزايد حول كيفية فرض مُصدري العملات المستقرة التحكم أثناء الأزمات.
2 hours ago
Analysis
لماذا لا تنتهي هجمات التشفير وتستمر حتى عندما تنتهي الأموال
قد يمكن لاستغلال تشفير إفراغ محفظة خلال دقائق، لكن الضرر الكامل غالبًا ما يمتد لأشهر. تواصل الرموز بالهبوط، وتنكمش الخزائن، وتُجمَّد عمليات التوظيف، ويمكن أن تستمر المشاريع التي نجت من السرقة حتى في خسارة مستقبلها بعد الكارثة.
2 weeks ago
رؤية تريليونات الخزانة (Treasury) البالغة 2 تريليون دولار للعملات المستقرة تصطدم بواقع USD1 ينفصل
Stablecoins · 1 month ago
تهديد أمن احتياطي حكومة الولايات المتحدة البالغ 28B دولار من Bitcoin بعد سرقة عطلة نهاية الأسبوع يكشف ثغرة
Hacks · 2 months ago
روبوتات “Robin Hood” الرقمية تسرق من المخترقين لكنها لا تعيد دائمًا للفقراء
Hacks · 2 months ago
مئات محافظ MetaMask تم استنزافها: ماذا تتحقق قبل أن “تحدّث”
Wallets · 3 months ago
ADI Chain تعلن عن ADI Predictstreet كشريك سوق التنبؤات لبطولة FIFA World Cup 2026
مدعومة من ADI Chain، ستظهر ADI Predictstreet على أكبر مسرح للرياضة كونه شريك سوق التنبؤات الرسمي لكأس FIFA World Cup 2026.
6 hours ago
BTCC Exchange تُسمّى الشريك الإقليمي الرسمي للمنتخب الوطني الأرجنتيني
تعاونت BTCC مع Argentine Football Association عبر FIFA World Cup 2026، وربطت حضور التبادل التشفيري طويل الأمد مع أحد أكثر المنتخبات الوطنية إنجازًا في كرة القدم.
1 day ago
Encrypt Is Coming to Solana لتشغيل أسواق رأسمالية مشفرة
PR · 3 days ago
Ika Is Coming to Solana لتشغيل أسواق رأسمالية بلا جسور
PR · 3 days ago
TxFlow L1 Mainnet Launch تُعلّم مرحلة جديدة للتمويل على السلسلة متعدد التطبيقات
PR · 3 days ago
BYDFi تضع علامة مرورها السادسة مع احتفال يمتد شهرًا، مصمّم للموثوقية
PR · 3 days ago
Disclaimer
آراء كتّابنا هي آراءهم وحدهم ولا تعكس رأي CryptoSlate. لا ينبغي اعتبار أي من المعلومات التي تقرؤها على CryptoSlate نصيحة استثمارية، كما لا تؤيد CryptoSlate أي مشروع قد تتم الإشارة إليه أو ربطه في هذا المقال. شراء وتداول العملات المشفرة يجب اعتباره نشاطًا عالي المخاطر. يُرجى إجراء العناية الواجبة بنفسك قبل اتخاذ أي إجراء يتعلق بالمحتوى الوارد في هذا المقال. وأخيرًا، لا تتحمل CryptoSlate أي مسؤولية في حال خسارتك أموالًا عند تداول العملات المشفرة. لمزيد من المعلومات، راجع إخلاءات مسؤوليتنا الخاصة بالشركة.