عنوان اصلی: «سرقت 50 میلیون دلار، تنها به دلیل عدم بررسی دقیق آدرس»
نویسنده اصلی: اریک، Foresight News
دیروز در ساعات اولیه بامداد به وقت پکن، تحلیلگر زنجیرهای با نام کاربری X به نام Specter، موردی را کشف کرد که در آن، به دلیل عدم بررسی دقیق آدرس انتقال، نزدیک به 50 میلیون USDT به آدرس هکر واریز شده بود.
بر اساس بررسیهای این نویسنده، این آدرس (0xcB80784ef74C98A89b6Ab8D96ebE890859600819) حدود ساعت 13 روز ۱۹ به وقت پکن، 50 USDT از صرافی بایننس برداشت کرد تا پیش از برداشت مبلغ کلان، آزمایشی انجام دهد.
حدود ۱۰ ساعت بعد، این آدرس یکباره ۴۹,۹۹۹,۹۵۰ USDT از بایننس برداشت کرد که با ۵۰ USDT قبلی، در مجموع دقیقاً ۵۰ میلیون شد.
حدود ۲۰ دقیقه بعد، آدرسی که ۵۰ میلیون USDT دریافت کرده بود، ابتدا ۵۰ USDT به آدرس 0xbaf4…95F8b5 واریز کرد تا آزمایشی انجام دهد.
کمتر از ۱۵ دقیقه پس از تکمیل انتقال آزمایشی، آدرس هکر 0xbaff…08f8b5، ۰.۰۰۵ USDT به آدرس حاوی ۴۹,۹۹۹,۹۵۰ USDT باقیمانده واریز کرد. آدرس استفادهشده توسط هکر، از نظر ابتدا و انتها بسیار شبیه آدرس دریافتکننده ۵۰ USDT بود که نشاندهنده یک حمله واضح «مسمومیت آدرس» است.
۱۰ دقیقه بعد، هنگامی که آدرس شروعشونده با 0xcB80 قصد داشت بیش از ۴۰ میلیون USDT باقیمانده را جابهجا کند، احتمالاً از روی بیدقتی، آدرس تراکنش قبلی را کپی کرد — که همان آدرس «مسمومسازی» شده توسط هکر بود — و تقریباً ۵۰ میلیون USDT را مستقیماً به دست هکر فرستاد.
با دستیابی به ۵۰ میلیون دلار، هکر تنها ۳۰ دقیقه بعد اقدامات شستشوی پول را آغاز کرد. بر اساس نظارت SlowMist، هکر ابتدا از طریق MetaMask، USDT را به DAI تبدیل کرد، سپس تمام DAI را برای خرید حدود ۱۶۶۹۰ اتریوم استفاده کرد، و پس از کنار گذاشتن ۱۰ ETH، باقی اتریوم را به Tornado Cash واریز کرد.
حدود ساعت ۱۶:۰۰ دیروز به وقت پکن، قربانی در زنجیره خطاب به هکر اعلام کرد که بهطور رسمی شکایت کیفری تنظیم کرده و با کمک نهادهای اجرای قانون، آژانسهای امنیت سایبری و چندین پروتکل بلاکچین، حجم زیادی اطلاعات قابل اعتماد درباره فعالیتهای این هکر جمعآوری شده است. صاحب دارایی اعلام کرد که هکر میتواند ۱ میلیون دلار برای خود نگه دارد و ۹۸٪ باقیمانده وجوه را بازگرداند؛ در این صورت دیگر پیگیری نخواهد شد. در صورت عدم همکاری، از طریق مسیر قانونی، مسئولیت کیفری و مدنی هکر پیگیری و هویت او افشا خواهد شد. اما تاکنون، هکر هیچ واکنشی نشان نداده است.
بر اساس دادههای جمعآوریشده توسط پلتفرم Arkham، این آدرس سابقه انتقالات کلان با آدرسهای صرافیهای بایننس، کراکن، Coinhako و Cobo داشته است. بایننس، کراکن و Cobo نیاز به معرفی ندارند، اما Coinhako ممکن است نام نسبتاً ناآشنایی باشد. Coinhako یک پلتفرم معاملات ارز دیجیتال محلی سنگاپوری است که در سال ۲۰۱۴ تأسیس شده و در سال ۲۰۲۲ مجوز مؤسسه پرداخت بزرگ (MPI) را از مقامات پولی سنگاپور (MAS) دریافت کرده و جزو پلتفرمهای تحت نظارت در سنگاپور محسوب میشود.
با توجه به استفاده این آدرس از چندین صرافی در مناطق مختلف و همچنین خدمات نگهداری Cobo، و نیز توانایی ردیابی سریع هکر در کمتر از ۲۴ ساعت پس از حادثه با تماس با طرفهای مرتبط، این نویسنده حدس میزند که این آدرس به احتمال زیاد متعلق به یک نهاد سازمانی باشد تا یک فرد.
«بیدقتی» منجر به اشتباه بزرگ شد
تنها توضیح برای موفقیت حمله «مسمومیت آدرس»، «بیدقتی» است. چنین حملاتی با یکبار بررسی مجدد آدرس پیش از انتقال قابل پیشگیری هستند، اما به وضوح شخص اصلی این حادثه از این گام حیاتی صرفنظر کرده است.
حملات مسمومیت آدرس از سال ۲۰۲۲ آغاز به ظهور کردند و داستان از «مولد آدرسهای زیبا» (آدرسهای خاص) سرچشمه میگیرد؛ ابزاری که میتواند ابتدای آدرس EVM را سفارشیسازی کند. به عنوان مثال، خود این نویسنده میتواند آدرسی با شروع 0xeric ایجاد کند تا آدرس برچسبگذاری شدهتری داشته باشد.
بعدها هکرها متوجه شدند که این ابزار به دلیل مشکل طراحی، امکان شکستن کلید خصوصی با حمله brute-force را فراهم میکند که منجر به چند مورد سرقت عمده وجوه شد. اما قابلیت تولید آدرس با ابتدا و انتهای سفارشی، به برخی افراد سودجو یک «ایده شیطانی» داد: با تولید آدرسی شبیه به ابتدا و انتهای آدرسهای انتقال متداول کاربر، و انتقال مبلغی به سایر آدرسهای پرکاربرد کاربر، برخی کاربران ممکن است از روی بیدقتی، آدرس هکر را به جای آدرس خود اشتباه گرفته و داراییهای زنجیرهای خود را فعالانه به جیب هکر واریز کنند.
اطلاعات گذشته زنجیره نشان میدهد که آدرس شروعشونده با 0xcB80، حتی پیش از این حمله نیز یکی از اهداف مهم مسمومسازی هکرها بوده و حملات مسمومیت آدرس علیه آن از نزدیک به ۱ سال قبل آغاز شده است. این روش حمله در اصل شرط بندی هکر است بر اینکه شما روزی به دلیل تنبلی یا بیتوجهی فریب خواهید خورد، و دقیقاً همین روش حمله که به راحتی قابل تشخیص است، باعث شده «افراد بیدقت» پشت سر هم قربانی شوند.
در واکنش به این رویداد، وانگ چون، همبنیانگذار F2Pool، در توییتر همدردی خود با قربانی را ابراز کرد و گفت که سال گذشته برای آزمایش احتمال نشت کلید خصوصی آدرس خود، ۵۰۰ بیتکوین به آن آدرس فرستاد و سپس ۴۹۰ بیتکوین توسط هکرها دزدیده شد. اگرچه تجربه وانگ چون ربطی به حمله مسمومیت آدرس ندارد، اما احتمالاً قصد داشته بیان کند که هرکسی ممکن است گاهی «احمقانه» عمل کند و نباید قربانی را به خاطر بیدقتی سرزنش کرد، بلکه باید انگشت اتهام را به سوی هکرها گرفت.
۵۰ میلیون دلار مبلغ کمی نیست، اما بالاترین مبلغ سرقتشده در این نوع حملات نیست. در مه ۲۰۲۴، یک آدرس به دلیل چنین حملهای، WBTC به ارزش بیش از ۷۰ میلیون دلار به آدرس هکر واریز کرد، اما قربانی در نهایت با کمک شرکت امنیتی Match Systems و صرافی Cryptex، از طریق مذاکره زنجیرهای تقریباً تمام وجوه را بازپس گرفت. با این حال، در این حادثه، هکر به سرعت وجوه سرقتشده را به ETH تبدیل و به Tornado Cash واریز کرده و مشخص نیست در نهایت آیا امکان بازپسگیری وجود دارد یا خیر.
جیمسون لوپ، همبنیانگذار و مدیر ارشد امنیت Casa، در ماه آوریل هشدار داد که حملات مسمومیت آدرس به سرعت در حال گسترش هستند و از سال ۲۰۲۳ تاکنون تنها در شبکه بیتکوین حدود ۴۸ هزار مورد از این رویدادها رخ داده است.
از جمله لینکهای جعلی جلسات Zoom در تلگرام، این روشهای حمله را نمیتوان هوشمندانه نامید، اما دقیقاً همین روشهای حمله «ساده» هستند که باعث کاهش هوشیاری افراد میشوند. برای ما که در جنگل تاریک هستیم، همیشه محتاطتر بودن ضرری ندارد.
