8 دقیقه
از دست رفتن عظیم ۵۰ میلیون دلار در نتیجه کلاهبرداری آدرس سمی
طبق گزارش شرکت امنیت بلاکچین Web3 Antivirus، یک کاربر ارز دیجیتال به اشتباه نزدیک به ۵۰ میلیون دلار استیبلکوین به آدرسی که «سمی» شده بود منتقل کرد. این آدرس جعلی از تاریخچه تراکنشهای کاربر کپی شده بود و حادثه — که یکی از بزرگترین زیانهای on-chain گزارششده در سال جاری است — نشان میدهد که بردارهای حمله غیرفنی مانند دستکاری آدرسها همچنان میتوانند زیانهای شدیدی به دارندگان ارز دیجیتال وارد کنند. این نمونه یک هشدار مهم برای جامعه رمزارز است که ریسکهای مهندسی اجتماعی، مدیریت نادرست کیف پول و ضعف در شیوههای انتقال دارایی را نمایان میسازد.
چه رخ داد
در این پرونده قربانی ابتدا یک تراکنش آزمایشی کوچک به گیرنده مورد نظر ارسال کرد تا تأیید دریافت را بگیرد. چند دقیقه بعد و بلافاصله پس از برداشت دارایی از صرافی Binance، کاربر آدرسی را از تاریخچه تراکنشهای خود کپی و برای انتقال دوم جایگذاری (paste) کرد — اما بهجای آدرس صحیح، 49,999,950 واحد یک استیبلکوین به آدرسی بسیار شبیه اما مخرب ارسال شد. Web3 Antivirus توالی زمانبندی تراکنشها را مستندسازی کرد و این مورد را بهعنوان نمونهای کلاسیک از طرح آدرس سمّی یا address poisoning معرفی نمود. تحلیل صورت گرفته نشان میدهد که مهاجمان از اشتباهات انسانی در فرایند کپی-پیست بهره بردهاند و نیازی به سوءاستفاده از باگهای قراردادهای هوشمند یا آسیبپذیریهای پروتکل نداشتهاند.
درک مفهوم آدرس سمی
آدرس سمی (address poisoning) یک تکنیک مهندسی اجتماعی است که در آن آدرسهایی شبیه به آدرس کیف پول هدف در تاریخچه تراکنش یا کلیپبورد قربانی «کار گذاشته» میشوند. از آنجا که آدرسهای رمزارز طولانی و پیچیدهاند، بسیاری از کاربران به روش کپی-پیست متکی هستند. مهاجمان این رفتار را هدف قرار میدهند و آدرسهایی تقریباً یکسان با اختلاف چند کاراکتر ایجاد میکنند تا داراییها به جای مقصد موردنظر، به کیف پول مهاجم هدایت شود. این حملات معمولاً از حملات صفحهکلید، افزونههای مرورگر آلوده، مدیفایکنندههای کلیپبورد و یا نفوذ به جلسههای کاربر روی پلتفرمهای متمرکز نشأت میگیرند.
تیمهای امنیتی تأکید میکنند که این نوع کلاهبرداریها رفتار انسانی را هدف میگیرند، نه کد بلاکچین را. آدرسهای مخرب ممکن است در افزونههای مرورگر، برنامههای مدیریت کلیپبورد یا حتی در صفحه تاریخچه برداشت صرافیهای متمرکز ظاهر شوند، بهویژه اگر دستگاه یا جلسه کاربر آلوده یا در معرض دسترسی غیرمجاز قرار گرفته باشد. در نتیجه، شناخت بردارهای تهدیدی مانند clipboard hijacking، حملات homograph (حروف شبیهسازیشده)، و کاراکترهای صفر-عرض (zero-width) اهمیت ویژهای در محافظت از تراکنشها دارد.
چرا برداشتها از صرافیها اهمیت دارند
در مورد گزارششده، وجوه بلافاصله قبل از انتقال سمی از Binance برداشت شده بود. برداشتهای بزرگ و انتقالهای سریع متعدد ریسک را افزایش میدهند زیرا کاربران ممکن است به انجام تراکنشهای تکراری سریع متوسل شوند و احتمال استفاده مکرر از کپی-پیست افزایش مییابد؛ این فرصت کوتاه برای مهاجمان ایجاد میکند تا آدرسهای مشابه را در کلیپبورد یا رابط کاربری جاگذاری کنند. علاوه بر این، برخی از صرافیها هنگام نمایش تاریخچه برداشت، اطلاعاتی را نشان میدهند که در صورت به خطر افتادن جلسه کاربر میتواند به تهدیدی برای امنیت تبدیل شود.
نکته فنی دیگر این است که بسیاری از پروتکلها و رابطها به کاربر هشدارهای کافی در مورد شباهت آدرسها یا وجود کاراکترهای نامعمول نشان نمیدهند. این فقدان هشدارهای هوشمند و ابزارهای اعتبارسنجی آدرس باعث میشود حملات address poisoning کارایی بیشتری داشته باشند، مخصوصاً علیه کاربرانی که از مرورگرها یا سیستمهای مدیریت آدرس غیرامن استفاده میکنند.
پاسخ سیاستگذاری: SAFE Crypto Act
افزایش شمار کلاهبرداریها و سرقتهای on-chain در سال ۲۰۲۵ قانونگذاران آمریکایی را واداشت که وارد عمل شوند. سناتورهای Elissa Slotkin و Jerry Moran پیشنویس دوحزبی «SAFE Crypto Act» را معرفی کردند — قانونی که مخفف Strengthening Agency Frameworks for Enforcement of Cryptocurrency Act است — و هدف آن تشکیل یک نیروی ویژه فدرال برای بهبود هماهنگی میان نهادهای دولت، نیروهای انتظامی و متخصصان بخش خصوصی میباشد. این ابتکار میتواند چارچوب اجرایی و تبادل اطلاعات بین سازمانها را تقویت کند تا واکنش به تقلبهای رمزارزی سریعتر و مؤثرتر شود.
نیروی ویژه پیشنهادی قرار است روندهای کلاهبرداری در سراسر اکوسیستم را تحلیل کند — از طرحهای هرمی و rug pull تا پولشویی و grooming مالی. این گروه از ارائهدهندگان خدمات دارایی دیجیتال، صادرکنندگان استیبلکوین، نهادهای نگهداریکننده (custodians)، شرکتهای تحلیل بلاکچین، گروههای حمایت از مصرفکننده و مدافعان قربانیان دعوت به مشارکت خواهد کرد. هدف بلندمدت ایجاد استانداردهای صنعتی، الزامات گزارشدهی بلندمدت و ابزارهای هماهنگ برای کمک به کشف و پیگرد جرایم دیجیتال است.
اگرچه تصویب قانون بهتنهایی مشکل امنیت کاربران را حل نمیکند، اما هماهنگی بهتر بین نهادها و ایجاد یک ظرفیت تخصصی فدرال میتواند به شناسایی و اختلال در شبکههای کلاهبرداری کمک شایانی کند. همچنین این نوع سیاستگذاری میتواند فشار بیشتری بر صرافیها و ارائهدهندگان خدمات برای اجرای سیاستهای امنیتی و شفافسازی بیشتر وارد کند.
توصیههای عملی امنیتی
متخصصان صنعت مجموعهای از اقدامات کاهش ریسک را برای کاهش احتمال آدرس سمی و سایر کلاهبرداریها پیشنهاد میکنند. این توصیهها ترکیبی از اقدامات فنی، رویهای و آموزشی هستند که میتوانند از داراییهای کاربران محافظت کنند:
- همیشه قبل از انتقالهای بزرگ، آدرسها را از چند منبع مستقل بررسی کنید. استفاده از مرورگرهای بلاکاستاندارد و سرویسهای اعتبارسنج آدرس میتواند کمککننده باشد.
- ابتدا یک تراکنش آزمایشی کوچک ارسال کنید و پس از تأیید دریافت، تا چند تأیید بلاک بیشتر صبر کنید قبل از اینکه انتقال اصلی را انجام دهید؛ این کار ریسک خطاهای انسانی و حملات سریع را کاهش میدهد.
- برای داراییهای قابلتوجه از کیفپولهای سختافزاری (hardware wallets) و نگهداری چندامضایی (multi-signature custody) استفاده کنید؛ این روشها خطر انتقالهای تصادفی یا تکنفره را کاهش میدهد.
- از سامانههای مانیتورینگ on-chain و فهرستهای آدرس (address watchlists) برای کشف آدرسهای مشکوک یا آدرسهای تازه ایجادشده که شباهت زیاد به آدرسهای شناختهشده دارند، استفاده کنید.
- مرورگرها، سیستمعاملها و نرمافزارهای کیفپول را بهروز نگه دارید و از جایگذاری آدرسها از منابع تأییدنشده خودداری نمایید. همچنین از افزونهها و برنامههای مدیریت کلیپبورد ناشناخته استفاده نکنید.
علاوه بر این توصیههای پایه، نکات فنی تخصصیتری نیز وجود دارند که میتوانند ریسک را کاهش دهند: استفاده از کتابخانهها یا ابزارهای مقایسه آدرس با الگوریتمهای fuzzy matching برای شناسایی homographها، فعالسازی ویژگیهای whitelisting در صرافیها (فقط آدرسهای تأییدشده مجاز به برداشت باشند)، و نمایش هشدارهای بصری در رابط کاربری هنگام وجود اختلاف کاراکتری در آدرسها.
از دیدگاه عملیات حادثه (incident response)، اگر کاربری متوجه انتقال اشتباه شد باید سریعا اقدامات زیر را انجام دهد: ۱) ثبت و ذخیره شواهد تراکنش (tx hash، اسکرینشاتها و لاگهای سیستم)، ۲) تماس با پشتیبانی صرافی مربوطه و ارائه مدارک، ۳) گزارش به شرکتهای تحلیل بلاکچین برای ردیابی جریان وجوه (blockchain forensics)، و ۴) همکاری با مراجع قضایی و پلیس سایبری برای پیگیری کیف پول مهاجم. هرچند بازیابی وجوه در فضای غیرمتمرکز دشوار است، اما پیگیری زنجیرهای میتواند در برخی موارد منجر به شناسایی صرافیهای مرکزی یا فرآیندهای نقدسازی شود که مهاجم برای تبدیل داراییها به فیات از آنها استفاده کرده است.
علاوه بر اقدامات فردی، صنعت باید در زمینه ابزارهای پیشگیرانه سرمایهگذاری بیشتری نماید: ایجاد و اتخاذ استانداردهای UX برای نمایش واضح checksum آدرسها، توسعه افزونههای ضدفیشینگ معتبر و تأییدشده، و ارائه ابزارهای مقایسه آدرسی که تفاوتهای جزئی را برای کاربر برجسته کند. این ابزارها، همراه با آموزش مستمر کاربران در مورد خطرات مهندسی اجتماعی، میتواند از تکرار چنین حوادثی جلوگیری کند.
با گسترش پذیرش بلاکچین، بهرهبرداریهای غیرفنی مانند آدرس سمی همچنان یک تهدید پایدار خواهند بود. ترکیب شیوههای کاربری قویتر، هماهنگی نظارتی و ابزارهای صنعتی بهتر برای شناسایی و جلوگیری از این حملات، برای کاهش زیانهای گسترده و بازگرداندن اعتماد به پرداختهای کریپتو و استفاده از استیبلکوینها ضروری است. حفظ امنیت در اکوسیستم رمزارز نیازمند همافزایی میان آموزش کاربران، نوآوریهای فنی و چارچوبهای سیاستگذاری است که بهصورت واقعبینانه به تهدیدات نوظهور پاسخ دهد.
منبع: crypto
نظرات
آسمانچرخ
نیروی ویژه لازمه اما صرف قانون کافی نیست، باید UX و ابزارهای مقایسه آدرس هم باشه، کاربران هم باید آموزش ببینن 🙂
مهران
دیدم شرکتمون هم نزدیک بود به همین تله بخوره، یه افزونه کلیپبورد آلوده بود، خدا رو شکر قبل از ارسال بزرگ تست زدیم، توصیه: همیشه تست کوچیک بزنید، جدی نگرفتنش گرون درمیاد
لابکور
آیا واقعا فقط address poisoning بوده؟ بدون هیچ باگ یا نفوذ فنی؟ اگه اینطور باشه یعنی همهمون باید تغییر کنیم، مدرک دقیق کجاست؟
دیتاپالس
وای ۵۰ میلیون؟! یعنی یه لحظه غفلت و تموم؛ کپی پیست چقدر میتونه خطرناک باشه… سوال اینه که چرا سیستم صرافی هشدار نداد، عجیبه
ارسال نظر