وانغ تشون كان ضحية أيضاً: "رسوم تعليم" بقيمة 50 مليون دولار. لماذا تنجح هجمات تسميم العناوين؟

عنوان المقال الأصلي: "سرقة 50 مليون دولار بسبب عدم التحقق من العنوان"

كاتب المقال الأصلي: Eric, Foresight News

صباح أمس بتوقيت بكين، اكتشف محلل بلوكتشين يدعى Specter حالة تم فيها تحويل ما يقرب من 50 مليون USDT إلى عنوان مخترق بسبب نقص التحقق الدقيق من العنوان.

وفقاً للتحقيق الذي أجراه المؤلف، قام العنوان (0xcB80784ef74C98A89b6Ab8D96ebE890859600819) بسحب 50 USDT من منصة Binance لاختبار سحب كبير في حوالي الساعة 13:00 يوم 19 بتوقيت بكين.

بعد حوالي 10 ساعات، سحب العنوان 49,999,950 USDT في معاملة واحدة من Binance، ليضيفها إلى الـ 50 USDT السابقة، ليصبح المجموع 50 مليوناً بالضبط.

بعد حوالي 20 دقيقة، قام العنوان الذي استلم الـ 50 مليون USDT أولاً بتحويل 50 USDT إلى العنوان 0xbaf4…95F8b5 لأغراض الاختبار.

في أقل من 15 دقيقة بعد معاملة الاختبار، قام عنوان المخترق 0xbaff…08f8b5 بتحويل 0.005 USDT إلى العنوان الذي يحمل الـ 49,999,950 USDT المتبقية. كان عنوان المخترق المستخدم للتحويل يحتوي على بداية ونهاية متشابهتين جداً مقارنة بالعنوان الذي استلم الـ 50 USDT، مما يشير بوضوح إلى هجوم "تسميم العناوين".

بعد 10 دقائق، بينما كان العنوان الذي يبدأ بـ 0xcB80 يحاول تحويل الـ 40+ مليون USDT المتبقية، ربما بسبب الإهمال، قام بنسخ المعاملة السابقة عن طريق الخطأ، أي العنوان الذي استخدمه المخترق لـ "التسميم"، وأرسل مباشرة ما يقرب من 50 مليون USDT إلى المخترق.

عند استلام الـ 50 مليون دولار، بدأ المخترق أنشطة غسيل الأموال بعد 30 دقيقة فقط. وفقاً لمراقبة SlowMist، قام المخترق أولاً بتحويل USDT إلى DAI عبر MetaMask، ثم استخدم كل الـ DAI لشراء حوالي 16,690 eth-143">إيثريوم، واحتفظ بـ 10 ETH وحول الإيثريوم المتبقي إلى Tornado Cash.

حوالي الساعة 16:00 (بتوقيت بكين) أمس، نادى الضحية على المخترق على السلسلة، مشيراً إلى أنه تم تقديم تهم جنائية رسمياً. وبمساعدة وكالات إنفاذ القانون، ومنظمات الأمن السيبراني، وبروتوكولات بلوكتشين متعددة، تم جمع قدر كبير من المعلومات الموثوقة المتعلقة بأنشطة المخترق. صرح الضحية أن المخترق يمكنه الاحتفاظ بمليون دولار وإعادة الـ 98% المتبقية من الأموال. إذا امتثل المخترق، فلن يتم اتخاذ أي إجراء آخر؛ ومع ذلك، إذا لم يتعاون المخترق، فسيتم ملاحقته عبر القنوات القانونية للمسؤولية الجنائية والمدنية، وسيتم الكشف عن هوية المخترق علناً. حتى الآن، لم يقم المخترق بأي تحركات.

وفقاً للبيانات التي جمعتها منصة Arkham، يحتوي هذا العنوان على سجلات تحويلات كبيرة مع عناوين Binance وKraken وCoinhako وCobo. في حين أن Binance وKraken وCobo معروفة جيداً، قد يكون Coinhako اسماً غير مألوف نسبياً. Coinhako هي منصة تداول عملات رقمية محلية في سنغافورة تأسست عام 2014. في عام 2022، حصلت على ترخيص مؤسسة دفع رئيسية من سلطة النقد في سنغافورة، مما يجعلها منصة تداول منظمة في سنغافورة.

بالنظر إلى أن هذا العنوان تفاعل مع منصات تداول متعددة وخدمات حفظ Cobo وأظهر القدرة على الاتصال السريع بأطراف مختلفة لتتبع المخترق في غضون 24 ساعة من الحادث، يتكهن المؤلف بأن هذا العنوان ينتمي على الأرجح إلى منظمة وليس إلى فرد.

من "أوبس" إلى خطأ مكلف

التفسير الوحيد لهجوم "تسميم العناوين" الناجح هو "الإهمال". يمكن تجنب مثل هذه الهجمات بسهولة عن طريق التحقق المزدوج من العنوان قبل المعاملة، ولكن من الواضح أن الشخصية المركزية في هذا الحادث تخطت هذه الخطوة الحاسمة.

ظهرت هجمات تسميم العناوين في عام 2022، حيث نشأت القصة من أداة إنشاء "عناوين فاخرة"، وهي أداة تسمح بتخصيص بادئة عنوان EVM. على سبيل المثال، يمكن للمؤلف إنشاء عنوان يبدأ بـ 0xeric لجعله أكثر قابلية للتعرف عليه.

اكتشف المخترق لاحقاً أنه بسبب عيب في التصميم، يمكن لهذه الأداة كسر المفاتيح الخاصة، مما أدى إلى العديد من حوادث سرقة الأموال الكبيرة. ومع ذلك، فإن القدرة على إنشاء عناوين ذات بادئات ولاحقات مخصصة أثارت أيضاً فكرة شريرة: من خلال إنشاء عناوين مشابهة لبداية ونهاية عنوان التحويل المستخدم عادةً من قبل المستخدم وتحويل الأموال إلى عنوان آخر يستخدمه المستخدم، قد يقوم بعض الأفراد عن طريق الخطأ بإرسال أصولهم على السلسلة إلى عنوان المخترق، بافتراض أنه عنوانهم الخاص بسبب الإهمال.

تظهر البيانات التاريخية على السلسلة أن العنوان الذي يبدأ بـ 0xcB80 كان أحد الأهداف الرئيسية لتسميم العناوين من قبل المخترق قبل هذا الهجوم، حيث بدأ هجوم تسميم العناوين منذ ما يقرب من عام. يعتمد أسلوب الهجوم هذا بشكل أساسي على مراهنة المخترق على أنك ستقع يوماً ما في الفخ بسبب الكسل أو عدم الانتباه. ومن المفارقات أن أسلوب الهجوم الواضح هذا قد أدى إلى وقوع المزيد والمزيد من الأفراد "المهملين" كضحايا.

رداً على هذا الحادث، أعرب المؤسس المشارك لـ F2Pool، وانغ تشون، عن تعاطفه مع الضحايا. وذكر أنه في العام الماضي، لاختبار ما إذا كان عنوانه قد تعرض لتسريب مفتاح خاص، أرسل 500 بيتكوين إليه، ليتم سرقة 490 بيتكوين من قبل المخترقين. على الرغم من أن تجربة وانغ تشون لا تتعلق مباشرة بهجمات تسميم العناوين، إلا أنه ربما أراد أن ينقل أن الجميع لديهم لحظات من السهو ولا ينبغي لوم الضحايا على إهمالهم، بل يجب توجيه أصابع الاتهام إلى المخترقين.

خسارة 50 مليون دولار ليست مبلغاً صغيراً، لكنها ليست أعلى مبلغ تمت سرقته في مثل هذه الهجمات. في مايو 2024، وقع عنوان ضحية لهجوم مماثل حيث تم إرسال أكثر من 70 مليون دولار من btc-42">بيتكوين المغلفة (WBTC) إلى عنوان مخترق. ومع ذلك، استعاد الضحية في النهاية كل الأموال تقريباً من خلال التفاوض على السلسلة بمساعدة شركات الأمن Match Systems ومنصة التداول Cryptex. في هذا الحادث الأخير، قام المخترق بسرعة بتحويل الأموال المسروقة إلى إيثريوم ونقلها إلى Tornado Cash، مما يجعل إمكانية الاسترداد غير مؤكدة.

حذر المؤسس المشارك والرئيس الأمني لشركة Casa، جيمسون لوب، في أبريل من أن هجمات تسميم العناوين تنتشر بسرعة، مع وقوع أكثر من 48,000 حادث من هذا القبيل على شبكة بيتكوين وحدها منذ عام 2023.

أساليب الهجوم هذه، بما في ذلك روابط اجتماعات Zoom المزيفة على Telegram، ليست متطورة، ولكن هذا النهج "البسيط" هو بالضبط ما يمكن أن يباغت الناس. بالنسبة لأولئك منا في الغابة المظلمة، من الأفضل دائماً أن نكون حذرين للغاية.

رابط المقال الأصلي