یک کلیک، یک میلیون دلار ضرر؛ ترفند جدید هکرها قربانی گرفت

۱۸ تیر ۱۴۰۵
یک کلیک، یک میلیون دلار ضرر؛ ترفند جدید هکرها قربانی گرفت

تنها چند ثانیه برای از دست رفتن نزدیک به یک میلیون دلار کافی بود. یک کاربر بازار ارزهای دیجیتال روز چهارشنبه پس از امضای یک درخواست جعلی روی شبکه اتریوم، تقریباً تمام موجودی استیبل کوین خود را از دست داد؛ اتفاقی که بار دیگر خطر کلاهبرداری‌های مبتنی بر «تأیید دسترسی به توکن‌ها» را به کاربران

تنها چند ثانیه برای از دست رفتن نزدیک به یک میلیون دلار کافی بود. یک کاربر بازار ارزهای دیجیتال روز چهارشنبه پس از امضای یک درخواست جعلی روی شبکه اتریوم، تقریباً تمام موجودی استیبل کوین خود را از دست داد؛ اتفاقی که بار دیگر خطر کلاهبرداری‌های مبتنی بر «تأیید دسترسی به توکن‌ها» را به کاربران یادآوری می‌کند. داده‌های آنچین نشان می‌دهد مهاجمان موفق شدند ۹۹۹,۹۹۹ تتر را از کیف پول قربانی خارج کنند؛ آن هم در شرایطی که کلاهبرداری‌های فیشینگ در نیمه نخست سال جاری صدها میلیون دلار خسارت به صنعت کریپتو وارد کرده‌اند. طبق هشدار منتشرشده توسط اسکم اسنیفر (Scam Sniffer)، مهاجمان ابتدا تلاش کردند در یک تراکنش، دقیقاً یک میلیون دلار از کیف پول قربانی خارج کنند، اما به دلیل کافی نبودن موجودی حساب، این تلاش ناموفق بود. تنها چند ثانیه بعد، اسکریپت مهاجمان موجودی باقی‌مانده کیف پول را دوباره محاسبه کرد و این بار موفق شد کل دارایی باقی‌مانده، یعنی ۹۹۹,۹۹۹ تتر را در چند تراکنش جداگانه به سرقت ببرد. اسکم اسنیفر در توضیح این حمله نوشت: اسکریپت مهاجم موجودی باقی‌مانده را مجدداً محاسبه کرد و دقیقاً همان مقدار را از کیف پول خارج کرد. این نوع حمله زمانی رخ می‌دهد که کاربر یک درخواست ظاهراً بی‌ضرر برای تأیید دسترسی به توکن‌ها را امضا می‌کند. بسیاری از کاربران تصور می‌کنند با فشردن دکمه «Approve» تنها یک عملیات ساده را تأیید می‌کنند، اما در واقع مجوز دسترسی کامل یا نامحدود به دارایی‌های خود را در اختیار مهاجم قرار می‌دهند. پس از دریافت این مجوز، ربات‌های خودکار موسوم به «Sweeper» می‌توانند بدون نیاز به اقدام مجدد کاربر، دارایی‌های موجود در کیف پول را تخلیه کنند. چندی پیش نیز کاربری دیگر پس از اتصال به یک صرافی جعلی و امضای قرارداد مخرب، حدود ۱.۶۵ میلیون دلار از دارایی‌های خود را از دست داده بود. گزارش شرکت امنیت بلاکچین سرتیک (CertiK) نشان می‌دهد کلاهبرداری‌های فیشینگ در سال ۲۰۲۵ بیش از ۷۲۳ میلیون دلار خسارت در ۲۴۸ حادثه مختلف به کاربران وارد کرده‌اند. همزمان، چین‌آنالیسیس (Chainalysis) برآورد کرده است که مجموع درآمد کلاهبرداری‌های آنچین در سال جاری از ۱۴ میلیارد دلار فراتر رفته و بخش قابل توجهی از این حملات از طریق همین مجوزهای مخرب و حملات مهندسی اجتماعی انجام شده است. به گفته رناتو باستوس (Renato Bastos)، محقق ارشد چین‌آنالیسیس: کلاهبرداران معمولاً از کیف پول‌ها، مسیرهای نقد کردن دارایی و زیرساخت‌های مشابه برای قربانیان مختلف استفاده می‌کنند؛ به همین دلیل هر پرونده می‌تواند بخشی از یک شبکه بزرگ‌تر را آشکار کند. در کنار حملات فیشینگ، روش دیگری به نام «مسموم‌کردن آدرس» نیز به سرعت در حال گسترش است. در این روش، مهاجمان آدرس‌هایی بسیار شبیه به آدرس کیف پول قربانی ایجاد می‌کنند و مقدار ناچیزی به آن ارسال می‌کنند تا این آدرس در تاریخچه تراکنش‌های کاربر ظاهر شود. در ادامه، کاربر ممکن است هنگام کپی کردن آدرس از تاریخچه تراکنش‌ها، به اشتباه دارایی خود را به آدرس جعلی ارسال کند. در واکنش به افزایش این حملات، کیف پول متامسک (MetaMask) اخیراً قابلیت تشخیص آنی آدرس‌های مشکوک را معرفی کرده است؛ قابلیتی که آدرس‌های جدید را با آدرس‌های مورد استفاده قبلی کاربر مقایسه می‌کند تا احتمال این اشتباه کاهش یابد.
یک کلیک، یک میلیون دلار ضرر؛ ترفند جدید هکرها قربانی گرفت | اخبار تریدیار | تریدیار