99 هزار کاربر و 60 میلیون دلار رمزارز اتریوم قربانی یک ابزار کاربردی شدند
محققان به تازگی متوجه شدهاند که هکرها با استفاده از یکی از ابزارهای کاربردی شبکه اتریوم به نام Create2 میتوانند افراد مختلف را فریب داده و داراییهای ارز دیجیتال آنها را به سرقت ببرند. برای جلوگیری از اینگونه حوادث با تیم شهر سختافزار همراه باشید.
Create2 یک تابع Solidity به شمار میآید که امکان ایجاد قرارداد در آدرسهای قطعی شبکه اتریوم را فراهم میکند. این تابع در هارد فورک بیزانتیوم (Byzantium) شبکه اتریوم معرفی شد.
حالا بازیگران مخرب از عملکرد Create 2 اتریوم برای دور زدن هشدارهای امنیتی کیف پول و دسترسی به آدرسهای دارای ارز دیجیتال سوءاستفاده کردهاند، حادثهای که نتیجه آن به سرقت رفتن معادل 60 میلیون دلار رمزارز از 99 هزار کیفپول در مدت شش ماه شده است.
به گزارش Bleepingcomputer، این حادثه توسط متخصصان مبارزه با کلاهبرداری Web3 پلتفرم Scam Sniffer گزارش شده است، افرادی که تا به امروز چندین مورد سوءاستفاده این چنینی را مشاهده کردهاند. به گزارش این متخصصان، در حادثه فوق یک فرد به تنهایی 1.6 میلیون دلار دارایی رمزارزی را از دست داده و متضرر شده است.
سوءاستفاده از یک عملکرد قانونی
همانطور که گفته شد، Create2 یک آپکد (opcode) شبکه اتریوم به شمار آمده که در بهروزرسانی قسطنطنیه (Constantinople) معرفی شد و امکان ایجاد قراردادهای هوشمند در بلاکچین اتریوم را فراهم میکند.
برخلاف کد اصلی Create که آدرسهای جدیدی را بر اساس آدرسهای سازنده و nonce ایجاد میکند، Create2 ویژگی امکان محاسبه در آدرسهای جدید قبل از اجرای قرارداد را به همراه دارد.
بر همین اساس میتوان گفت که Create2 یک ابزار قدرتمند برای توسعهدهندگان اتریوم محسوب شده که تعاملات قراردادی پیشرفته و انعطافپذیر، پیش محاسبه آدرس قرارداد مبتنی بر پارامتر، انعطافپذیری استقرار، مناسب بودن برای تراکنشهای خارج از بلاکچین و اپلیکیشنهای غیرمتمرکز (dApps) خاص را امکانپذیر میکند.
به عبارت دیگر میتوان گفت که Create2 مزایای قابل توجهی به همراه دارد، اما مشخص شده که چندین پیامد امنیتی و بردارهای حمله جدید نیز به همراه آن شکل گرفته است.
سوءاستفاده از آپکد Create2 شبکه اتریوم
گزارش منتشر شده توسط Scam Sniffer حاکی از آن است که Create2 میتواند برای ایجاد آدرسهای قرارداد جدید بدون سابقه تراکنش مخرب یا گزارششده مورد سوءاستفاده قرار گیرد؛ بنابراین هشدارهای امنیتی کیف پول را به راحتی دور میزند.
هنگامی که قربانی یک تراکنش مخرب را امضا کرده و آن را نهایی میکند، هکر قراردادی را در آدرس از پیش محاسبه شده مستقر و داراییهای قربانی را به آن منتقل میکند. این فرایند کاملاً غیر قابل بازگشت بوده و داراییهای قربانی به سرقت میرود.
در یک مورد که تحلیلگران اخیراً مشاهده کردهاند، قربانی پس از فریب خوردن برای امضای یک قرارداد انتقال دارایی رمزارز، بالغ بر 927 هزار دلار رمزارز GMX را از دست داده است.
در گزارش Scam Sniffer توضیح داده شده که از آگوست 2023 تا کنون 11 قربانی جدید برای اینگونه حوادث به ثبت رسیده و آنها در مجموع چیزی حدود 3 میلیون دلار دارایی رمزارزی خود را از دست دادهاند.
در همین رابطه بخوانید:
– آیا ادغام شبکه اتریوم منجر به افزایش آسیبپذیری آن میشود؟
– اتریوم تا چه زمانی قابل استخراج است؟
بیشتر اینگونه حملات به دور از چشم متخصصان امنیتی رخ داده و میلیونها نفر را از سراسر جهان درگیر میکنند، با این حال تنها موارد انگشتشماری از آنها در جوامع رمزارزی و رسانهها دیده میشوند.
در نهایت به تمام مخاطبان خوب شهر سختافزار توصیه میکنیم که در هنگام انجام تراکنشهای رمزارزی، همیشه قبل از تأیید آدرس گیرنده تمام کاراکترهای آن را به ترتیب بررسی کرده و تنها به چند مورد اول و آخر آدرس (آدرسهای کیف پولهای رمزارزی بسیار طویل هستند) بسنده نکنید.
منبع: https://www.shahrsakhtafzar.com/fa/news/security/48271-ethereum-feature-abused-steal-$60-million-from-99k-victims