كشفت ثغرة في MediaTek بواسطة Ledger Donjon تمكن من استخراج عبارات بذور المحافظ على أندرويد في أقل من 45 ثانية، وتؤثر على ملايين الأجهزة. CVE-2025-20435.
كشفت Ledger Donjon عن ثغرة خطيرة في MediaTek تتيح للمهاجمين سحب عبارات بذور المحافظ من هواتف أندرويد خلال ثوانٍ. حتى أن الهاتف لا يحتاج إلى أن يكون قيد التشغيل.
نشر تشارلز جيومليه، باسم @P3b7_ على X، النتائج علنًا. وأكد أن @DonjonLedger اكتشفت مرة أخرى عيبًا ذا مدى خطير. ووفقًا لجيومليه على X، يمكن استخراج بيانات المستخدمين، بما في ذلك أرقام التعريف الشخصية وعبارات البذور، في أقل من دقيقة، حتى من جهاز مغلق.
الحجم هنا مهم. ملايين هواتف أندرويد تعمل بمعالجات MediaTek. كما أن بيئة التنفيذ الموثوقة Trustonic تقع أيضًا في مرمى هذا الخطر.
إيقاف تشغيل هاتفك لم يعد مجديًا الآن
كما غرد جيومليه على X، قام فريق Ledger Donjon بتوصيل هاتف Nothing CMF Phone 1 بجهاز كمبيوتر محمول. خلال 45 ثانية، تم فقدان الأمان الأساسي للهاتف. لا إعدادات معقدة، لا أجهزة خاصة، فقط اتصال بجهاز كمبيوتر محمول وعداد زمني.
مهم القراءة: تهديدات أمن العملات الرقمية تتصاعد بسرعة مع اقتراب 2026
لم يمس الاستغلال نظام أندرويد نفسه. كما نشر جيومليه على X، استعاد الهجوم تلقائيًا رقم التعريف الشخصي، وفك تشفير تخزين الجهاز، وسحب عبارات البذور من أكثر محافظ البرامج شعبية. كل ذلك قبل تحميل نظام التشغيل.
هذه ليست فجوة صغيرة. إنها فشل هيكلي.
مشكلة بنية الشريحة التي لم يرغب أحد في الاعتراف بها
الرقائق العامة تستخدم الأمان مقابل السرعة والسهولة. أكد جيومليه ذلك مباشرة في سلسلة تغريداته على X. عنصر أمان مخصص يظل معزولًا عن باقي أجزاء الجهاز. لم تكن شرائح MediaTek مصممة على هذا النحو. بيئة التنفيذ الموثوقة Trustonic تقع داخل نفس الشريحة التي تتعامل مع المهام اليومية. الوصول المادي يكسر هذا الحد الفاصل.
هذه ليست المرة الأولى التي يتساءل فيها الباحثون عن أمان الهواتف الذكية لمستخدمي العملات الرقمية. يعود الأمر دائمًا لنفس الفجوة في البنية. شريحة الراحة مقابل شريحة الأمان. فهي ليست الشيء ذاته.
الإفصاح المسؤول، ثم الإصلاح
لم تنشر Ledger Donjon هذا بشكل علني دون تحذير. وكما أكد جيومليه على X، اتبعت الفريق عملية إفصاح مسؤول صارمة مع جميع البائعين المعنيين. وأكدت MediaTek أنها قدمت إصلاحًا لمصنعي المعدات الأصلية في 5 يناير 2026. الآن، تم تصنيف الثغرة على أنها CVE-2025-20435.
مهم القراءة: Ledger يخطط لطرح أسهمه في نيويورك مع تصاعد عمليات اختراق محافظ العملات الرقمية
تلقى مصنعو المعدات الأصلية الإصلاح. ما إذا كانت تلك التصحيحات وصلت إلى المستخدمين النهائيين هو سؤال آخر تمامًا. تشتت أندرويد مشكلة حقيقية. غالبًا ما تظل الأجهزة القديمة من شركات صغيرة بدون تحديثات لعدة أشهر.
لماذا تعرضت المحافظ البرمجية لهذا الخطر
عبارات البذور المخزنة على محفظة برمجية تعيش داخل الجهاز. وتعتمد كليًا على أمان الشريحة الموجودة تحته. عندما تفشل تلك الشريحة، يفشل كل شيء فوقها أيضًا.
اختتم جيومليه سلسلة تغريداته بوضوح حول الدافع. لم يُجرَ البحث لخلق الخوف، بل ليتمكن القطاع من إصلاح الثغرة قبل أن يصل إليها المهاجمون. هذه النافذة الآن مغلقة، على الأقل بالنسبة لهذا العيب المحدد.
مُرتبط: صعوبة اكتشاف سحب الأموال من المحافظ متعددة المنصات يتزايد
دائمًا ما كانت المحافظ البرمجية على أندرويد تحمل هذا الخطر. فقط ثغرة MediaTek أعطت رقمًا لذلك. 45 ثانية. هذا كل ما استغرقه الأمر.
إخلاء المسؤولية: قد تكون المعلومات الواردة في هذه الصفحة من مصادر خارجية ولا تمثل آراء أو مواقف Gate. المحتوى المعروض في هذه الصفحة هو لأغراض مرجعية فقط ولا يشكّل أي نصيحة مالية أو استثمارية أو قانونية. لا تضمن Gate دقة أو اكتمال المعلومات، ولا تتحمّل أي مسؤولية عن أي خسائر ناتجة عن استخدام هذه المعلومات. تنطوي الاستثمارات في الأصول الافتراضية على مخاطر عالية وتخضع لتقلبات سعرية كبيرة. قد تخسر كامل رأس المال المستثمر. يرجى فهم المخاطر ذات الصلة فهمًا كاملًا واتخاذ قرارات مدروسة بناءً على وضعك المالي وقدرتك على تحمّل المخاطر. للتفاصيل، يرجى الرجوع إلى
إخلاء المسؤولية.
مقالات ذات صلة
تطبيق ليجر مزيف على متجر تطبيقات آبل يستنزف صندوق تقاعد الموسيقي الذي تبلغ قيمته 5.9 BTC
تطبيق Ledger مزيف على متجر تطبيقات Apple خدع الموسيقي Garrett Dutton ليخسر 5.9 BTC عن طريق إدخال عبارة الاسترداد (seed phrase) الخاصة به. تُبرز هذه القضية عمليات الاحتيال المستمرة المتعلقة بالمحافظ واستغلال الثقة، إذ تم غسل البيتكوين المسروق عبر KuCoin.
CryptoNewsFlashمنذ 2 س
مكتب صرف مركزي (CEX) يتعرض للابتزاز دون استسلام: يؤثر على نحو 2000 حساب، ولم تكن أموال العملاء في خطر
قامت إحدى بورصات العملات المشفرة بتعرضها للابتزاز من قبل منظمة إجرامية، حيث ادعت أنها ستقوم بنشر مقاطع فيديو تُظهر الوصول إلى الأنظمة الداخلية. أكدت البورصة عدم وقوع اختراق شامل للنظام، وأن أموال العملاء في أمان؛ إذ تم الوصول إلى بيانات قرابة 2000 حساب بسبب سلوك غير مناسب من موظفي خدمة العملاء، وقد تم إنهاء الأذونات ذات الصلة وتعزيز ضوابط الأمان. تعمل الشركة حاليًا بالتعاون مع جهات إنفاذ القانون للتحقيق.
GateNewsمنذ 5 س
يجب أن تُبنى عملة مستقرة على المستوى الأساسي يمكن تجميدها فقط بموجب إذن من المحكمة
يشير مؤسس Solana المشارك toly إلى أن الصناعة تحتاج إلى عملة مستقرة لا يمكن تجميدها إلا بأمر من المحكمة، مع معارضة عوامل التجميد الأخرى. ويقترح أن تقوم البروتوكولات بإصدار عملات مستقرة على الطبقة الأساسية مع استراتيجيات تجميد مخصصة، وتعزيز إجراءات الأمان. وتستند هذه الرؤية إلى رد Circle مؤخراً على حادث اختراق بروتوكول Drift، مما أثار نقاشاً حول العملات المستقرة المركزية.
GateNewsمنذ 5 س
يُنشئ المُهاجم 1B DOT ثم يبيع مقابل $237K ETH
أثارَت حادثة أمنية تتعلق بإصدار ERC-20 من Polkadot على Ethereum مخاوف، مع التشديد على مخاطر الأصول المُلتفة والعبُور عبر السلاسل. استغلّ أحد المهاجمين ثغرةً لِإصدارِ وبيع 1 مليار من رموز DOT، مما أدى إلى انهيارٍ في السوق، وأبرز نقاط الضعف في إدارة العقود الذكية.
Coinfomaniaمنذ 8 س
نجمة الموسيقى G. Love تخسر 5.9 بيتكوين في عملية احتيال صادمة عبر متجر التطبيقات
_يخسر الموسيقي G. Love 5.9 BTC في عملية احتيال بتطبيق Ledger مزيف، ما يثير مخاوف جدية بشأن أمن العملات المشفرة ووعي المستخدمين حول العالم._
أثرت عملية احتيال كبرى على العملات المشفرة على Garrett Dutton، المعروف على نطاق واسع باسم G. Love. فقد المغني الأمريكي 5.9 بيتكوين بقيمة تقارب 420,000. حدثت الخسارة عندما كان قد ت
LiveBTCNewsمنذ 8 س
Aave في أزمة ثقة عميقة: مغادرة جماعية من مقدمي الخدمات، انهيار شامل في «التقنية والحوكمة وإدارة المخاطر»
الكاتب: Jae، PANews
بدلًا من الضغوط الخارجية في سوق هابطة، ظهرت داخل Aave بدلًا من ذلك «بجعة سوداء».
Aave، التي ظلت على عرش بروتوكولات الإقراض والاقتراض منذ فترة طويلة، تواجه الآن أشد اضطراب بيئي حدة منذ تأسيسها. لا يوجد هجوم اختراق، ولا توجد ثغرة في الكود؛ كل ما في الأمر هو فقدان السيطرة على السلطة وتعارض المصالح.
من قرار شركة BGD Labs، أحد أعمدة التقنية، بالانسحاب الحاسم، إلى القطيعة العلنية بين صدارة الحوكمة ACI (Aave Chan Initiative)، ثم إلى الإعلان الرسمي من حارس إدارة المخاطر Chaos Labs بإنهاء العلاقة—تُعرض الآن مسرحية «الانسحاب الكبير» من مقدمي الخدمات.
إن عمق هذه المواجهة يتجاوز بكثير نزاع التعاون، فهي تُشعل
区块客منذ 9 س
