وانگ چون هم قربانی شد: یک «شهریه» ۵۰ میلیون دلاری. چرا حمله مسموم‌سازی آدرس تا این حد موفق است؟

عنوان مقاله اصلی: «۵۰ میلیون دلار به دلیل عدم بررسی مجدد آدرس به سرقت رفت»

نویسنده مقاله اصلی: Eric, Foresight News

دیروز صبح به وقت پکن، یک تحلیلگر بلاک‌چین به نام Specter موردی را کشف کرد که در آن نزدیک به ۵۰ میلیون USDT به دلیل عدم بررسی دقیق آدرس، به آدرس یک هکر منتقل شد.

طبق تحقیقات انجام شده توسط نویسنده، این آدرس (0xcB80784ef74C98A89b6Ab8D96ebE890859600819) حدود ساعت ۱۳:۰۰ روز ۱۹ به وقت پکن، ۵۰ USDT را برای یک تست برداشت بزرگ از صرافی ارز دیجیتال Binance برداشت کرد.

تقریباً ۱۰ ساعت بعد، این آدرس ۴۹,۹۹۹,۹۵۰ USDT را در یک تراکنش واحد از Binance برداشت کرد که با ۵۰ USDT قبلی جمع شد و دقیقاً به ۵۰ میلیون رسید.

حدود ۲۰ دقیقه بعد، آدرسی که ۵۰ میلیون USDT را دریافت کرده بود، ابتدا ۵۰ USDT را برای اهداف آزمایشی به آدرس 0xbaf4…95F8b5 منتقل کرد.

در کمتر از ۱۵ دقیقه پس از تراکنش آزمایشی، آدرس هکر 0xbaff…08f8b5 مبلغ 0.005 USDT را به آدرسی که ۴۹,۹۹۹,۹۵۰ USDT باقی‌مانده را در اختیار داشت، منتقل کرد. آدرس هکر مورد استفاده برای این انتقال، ابتدا و انتهای بسیار مشابهی با آدرسی داشت که ۵۰ USDT را دریافت کرده بود، که نشان‌دهنده یک حمله واضح «مسموم‌سازی آدرس» است.

۱۰ دقیقه بعد، هنگامی که آدرس شروع شده با 0xcB80 تلاش کرد بیش از ۴۰ میلیون USDT باقی‌مانده را منتقل کند، احتمالاً به دلیل سهل‌انگاری، تراکنش قبلی یعنی آدرس مورد استفاده هکر برای «مسموم‌سازی» را به اشتباه کپی کرد و مستقیماً نزدیک به ۵۰ میلیون USDT را برای هکر فرستاد.

پس از دریافت ۵۰ میلیون دلار، هکر تنها ۳۰ دقیقه بعد فعالیت‌های پولشویی را آغاز کرد. طبق نظارت SlowMist، هکر ابتدا USDT را از طریق MetaMask به DAI تبدیل کرد، سپس از تمام DAI برای خرید حدود ۱۶,۶۹۰ eth-143">اتریوم استفاده کرد، ۱۰ ETH را نگه داشت و بقیه اتریوم را به Tornado Cash منتقل کرد.

حدود ساعت ۱۶:۰۰ (به وقت پکن) دیروز، قربانی در شبکه از هکر خواست که وجوه را بازگرداند و اعلام کرد که شکایات کیفری به طور رسمی ثبت شده است. با کمک نهادهای مجری قانون، سازمان‌های امنیت سایبری و چندین پروتکل بلاک‌چین، اطلاعات معتبر قابل توجهی در مورد فعالیت‌های هکر جمع‌آوری شده است. قربانی اعلام کرد که هکر می‌تواند ۱ میلیون دلار را نگه دارد و ۹۸ درصد باقی‌مانده وجوه را بازگرداند. اگر هکر همکاری کند، هیچ اقدام دیگری انجام نخواهد شد؛ با این حال، اگر هکر همکاری نکند، از طریق کانال‌های قانونی برای مسئولیت کیفری و مدنی تحت پیگرد قرار خواهد گرفت و هویت هکر به صورت عمومی فاش خواهد شد. تا این لحظه، هکر هیچ حرکتی انجام نداده است.

طبق داده‌های جمع‌آوری شده توسط پلتفرم Arkham، این آدرس دارای سوابق انتقال‌های بزرگ با آدرس‌های Binance، Kraken، Coinhako و Cobo است. در حالی که Binance، Kraken و Cobo شناخته شده هستند، Coinhako ممکن است نام نسبتاً ناآشنایی باشد. Coinhako یک صرافی ارز دیجیتال محلی سنگاپوری است که در سال ۲۰۱۴ تأسیس شد. در سال ۲۰۲۲، این صرافی مجوز مؤسسه پرداخت اصلی را از مرجع پولی سنگاپور دریافت کرد و آن را به یک صرافی تحت نظارت در سنگاپور تبدیل کرد.

با توجه به اینکه این آدرس با چندین صرافی و خدمات حضانت Cobo تعامل داشته و توانایی تماس سریع با طرف‌های مختلف برای ردیابی هکر در عرض ۲۴ ساعت پس از حادثه را نشان داده است، نویسنده حدس می‌زند که این آدرس احتمالاً متعلق به یک سازمان است تا یک فرد.

از یک «اوه» تا یک اشتباه پرهزینه

تنها توضیح برای یک حمله موفق «مسموم‌سازی آدرس»، «سهل‌انگاری» است. چنین حملاتی را می‌توان به راحتی با بررسی مجدد آدرس قبل از تراکنش از بین برد، اما ظاهراً شخصیت اصلی این حادثه از این مرحله حیاتی عبور کرده است.

حملات مسموم‌سازی آدرس در سال ۲۰۲۲ ظهور کردند، که داستان آن از یک تولیدکننده «آدرس فانتزی» سرچشمه می‌گیرد، ابزاری که امکان سفارشی‌سازی پیشوند آدرس EVM را فراهم می‌کند. به عنوان مثال، نویسنده می‌تواند آدرسی را ایجاد کند که با 0xeric شروع می‌شود تا تشخیص آن آسان‌تر شود.

هکر بعداً کشف کرد که به دلیل یک نقص طراحی، این ابزار می‌تواند کلیدهای خصوصی را به صورت brute force به دست آورد که منجر به چندین حادثه بزرگ سرقت وجوه شد. با این حال، توانایی تولید آدرس‌هایی با پیشوندها و پسوندهای سفارشی، ایده شومی را نیز برانگیخت: با ایجاد آدرس‌هایی مشابه ابتدا و انتهای آدرس انتقال معمول کاربر و انتقال وجوه به آدرس دیگری که توسط کاربر استفاده می‌شود، برخی افراد ممکن است به اشتباه دارایی‌های روی شبکه خود را به آدرس هکر بفرستند، با فرض اینکه به دلیل سهل‌انگاری متعلق به خودشان است.

داده‌های تاریخی روی شبکه نشان می‌دهد که آدرس شروع شده با 0xcB80 یکی از اهداف اصلی برای مسموم‌سازی آدرس توسط هکر قبل از این حمله بوده است و حمله مسموم‌سازی آدرس تقریباً ۱ سال پیش آغاز شده است. این روش حمله اساساً بر این شرط‌بندی هکر متکی است که یک روز به دلیل تنبلی یا بی‌توجهی در تله خواهید افتاد. به طور کنایه‌آمیزی، این روش حمله آشکار باعث شده است که افراد «سهل‌انگار» بیشتری قربانی شوند.

در واکنش به این حادثه، وانگ چون، هم‌بنیان‌گذار F2Pool، با قربانیان ابراز همدردی کرد. او اشاره کرد که سال گذشته، برای آزمایش اینکه آیا آدرسش دچار نشت کلید خصوصی شده است یا خیر، ۵۰۰ بیت‌کوین به آن فرستاد، اما ۴۹۰ بیت‌کوین توسط هکرها به سرقت رفت. اگرچه تجربه وانگ چون مستقیماً با حملات مسموم‌سازی آدرس مرتبط نیست، اما احتمالاً می‌خواست بگوید که همه لحظاتی از غفلت دارند و نباید قربانیان را به خاطر سهل‌انگاری‌شان سرزنش کرد، بلکه باید انگشت اتهام را به سمت هکرها گرفت.

ضرر ۵۰ میلیون دلاری مبلغ کمی نیست، اما بالاترین مبلغ سرقت شده در چنین حملاتی نیست. در مه ۲۰۲۴، یک آدرس قربانی حمله مشابهی شد که در آن بیش از ۷۰ میلیون دلار btc-42">بیت‌کوین (WBTC) بسته‌بندی شده به آدرس هکر فرستاده شد. با این حال، قربانی در نهایت تقریباً تمام وجوه را از طریق مذاکره روی شبکه با کمک شرکت‌های امنیتی Match Systems و پلتفرم معاملاتی Cryptex بازیابی کرد. در این حادثه اخیر، هکر به سرعت وجوه سرقت شده را به اتریوم تبدیل کرد و به Tornado Cash منتقل کرد که امکان بازیابی را نامشخص می‌کند.

جیمسون لوپ، هم‌بنیان‌گذار و مدیر ارشد امنیت Casa، در آوریل هشدار داد که حملات مسموم‌سازی آدرس به سرعت در حال گسترش هستند و از سال ۲۰۲۳ بیش از ۴۸,۰۰۰ مورد از این حوادث تنها در شبکه بیت‌کوین رخ داده است.

این روش‌های حمله، از جمله لینک‌های جعلی جلسات Zoom در تلگرام، پیچیده نیستند، اما دقیقاً همین رویکرد «ساده» است که می‌تواند افراد را غافلگیر کند. برای کسانی از ما که در جنگل تاریک هستیم، همیشه بهتر است که بیش از حد محتاط باشیم.

لینک مقاله اصلی