صدها کیف پول متامسک خالی شد: قبل از «به‌روزرسانی» چه چیزی را بررسی کنید

محقق امنیتی آنچین ZachXBT صدها کیف پول را در چندین زنجیره EVM شناسایی کرد که برای مبالغ کم، معمولاً کمتر از 2000 دلار به ازای هر قربانی، تخلیه می‌شدند و به یک آدرس مشکوک واحد هدایت می‌شدند.

مجموع سرقت از 107000 دلار گذشت و همچنان در حال افزایش بود. علت اصلی هنوز ناشناخته است، اما کاربران گزارش دادند که ایمیل فیشینگ مبدل شده به ارتقاء اجباری متامسک دریافت کردند که با لوگوی روباه کلاه جشن و موضوع "سال نو مبارک!" کامل شده بود.

این حمله زمانی وارد شد که توسعه‌دهندگان در تعطیلات بودند، کانال‌های پشتیبانی با حداقل نیرو کار می‌کردند و کاربران در حال پیمایش صندوق‌های ورودی شلوغ با تبلیغات سال نو بودند.

مهاجمان از آن پنجره سوءاستفاده می‌کنند. مبالغ کم به ازای هر قربانی نشان می‌دهد که در بسیاری از موارد، تخلیه‌کننده بر اساس تأییدیه‌های قرارداد عمل می‌کند نه به خاطر به خطر افتادن کامل عبارت بازیابی، که ضررهای فردی را زیر آستانه‌ای نگه می‌دارد که قربانیان فوراً هشدار می‌دهند اما به مهاجم اجازه می‌دهد در صدها کیف پول گسترش یابد.

صنعت هنوز در حال پردازش یک حادثه جداگانه افزونه مرورگر Trust Wallet است که در آن کد مخرب در افزونه Chrome نسخه 2.68 کلیدهای خصوصی را جمع‌آوری کرد و حداقل 8.5 میلیون دلار از 2520 کیف پول را قبل از اینکه Trust Wallet به نسخه 2.69 وصله کند، تخلیه کرد.

دو سوءاستفاده متفاوت، یک درس یکسان: نقاط پایانی کاربر همچنان ضعیف‌ترین حلقه باقی می‌مانند.

آناتومی یک ایمیل فیشینگ که کار می‌کند

ایمیل فیشینگ با تم متامسک نشان می‌دهد که چرا این حملات موفق می‌شوند.

هویت فرستنده "MetaLiveChain" را نشان می‌دهد، نامی که به نظر مبهم مجاور DeFi است اما هیچ ارتباطی با متامسک ندارد.

هدر ایمیل حاوی یک لینک لغو اشتراک برای "reviews@yotpo.com" است که نشان می‌دهد مهاجم الگوها را از کمپین‌های بازاریابی قانونی برداشته است. بدنه لوگوی روباه متامسک را با کلاه جشن نمایش می‌دهد که شادی فصلی را با فوریت ساختگی در مورد "به‌روزرسانی اجباری" ترکیب می‌کند.

این ترکیب از اکتشافیاتی که اکثر کاربران برای کلاه‌برداری‌های آشکار اعمال می‌کنند، عبور می‌کند.

مستندات امنیتی رسمی متامسک قوانین روشنی را تعیین می‌کند. ایمیل‌های پشتیبانی فقط از آدرس‌های تأیید شده مانند support@metamask.io می‌آیند و هرگز از دامنه‌های شخص ثالث نمی‌آیند.

ارائه‌دهنده کیف پول ایمیل‌های ناخواسته‌ای را که تأیید یا ارتقاء می‌خواهند ارسال نمی‌کند.

علاوه بر این، هیچ نماینده‌ای هرگز عبارت بازیابی را درخواست نمی‌کند. با این حال این ایمیل‌ها کار می‌کنند زیرا از شکاف بین آنچه کاربران از نظر فکری می‌دانند و آنچه هنگام رسیدن یک پیام با ظاهر رسمی به صورت انعکاسی انجام می‌دهند، سوءاستفاده می‌کنند.

چهار سیگنال فیشینگ را قبل از وقوع آسیب آشکار می‌کنند.

اول، عدم تطابق برند-فرستنده، زیرا برند متامسک از "MetaLiveChain" سیگنال سرقت الگو را می‌دهد. دوم، فوریت ساختگی در مورد به‌روزرسانی‌های اجباری که متامسک صریحاً می‌گوید ارسال نخواهد کرد.

سوم، URLهای مقصد که با دامنه‌های ادعا شده مطابقت ندارند، شناور شدن قبل از کلیک کردن هدف واقعی را آشکار می‌کند. چهارم، درخواست‌هایی که قوانین اصلی کیف پول را نقض می‌کنند، مانند درخواست عبارت بازیابی یا درخواست برای امضا روی پیام‌های مبهم آف چین.

پرونده ZachXBT مکانیک فیشینگ امضا را نشان می‌دهد. قربانیانی که روی لینک ارتقاء جعلی کلیک کردند احتمالاً تأییدیه قرارداد را امضا کردند که به تخلیه‌کننده اجازه انتقال توکن‌ها را می‌داد.

آن امضای واحد درب را به روی سرقت مداوم در چندین زنجیره باز کرد. مهاجم مبالغ کوچک به ازای هر کیف پول را انتخاب کرد زیرا تأییدیه‌های قرارداد اغلب به طور پیش‌فرض محدودیت‌های هزینه نامحدود دارند، اما تخلیه همه چیز بلافاصله تحقیقات را آغاز می‌کند.

پخش سرقت در صدها قربانی با 2000 دلار برای هر کدام در زیر رادار فردی پرواز می‌کند در حالی که مجموع شش رقمی را جمع می‌کند.

لغو تأییدیه‌ها و کاهش شعاع انفجار

هنگامی که روی یک لینک فیشینگ کلیک می‌شود یا یک تأییدیه مخرب امضا می‌شود، اولویت به مهار تغییر می‌کند. متامسک اکنون به کاربران اجازه می‌دهد مجوزهای توکن را مستقیماً در متامسک Portfolio مشاهده و لغو کنند.

Revoke.cash کاربران را از طریق یک فرآیند ساده راهنمایی می‌کند: کیف پول خود را متصل کنید، تأییدیه‌ها را در هر شبکه بررسی کنید و تراکنش‌های لغو را برای قراردادهای غیرقابل اعتماد ارسال کنید.

صفحه Token Approvals اتراسکن همان عملکرد را برای لغو دستی تأییدیه‌های ERC-20، ERC-721 و ERC-1155 ارائه می‌دهد. این ابزارها مهم هستند زیرا قربانیانی که سریع عمل می‌کنند می‌توانند دسترسی تخلیه‌کننده را قبل از از دست دادن همه چیز قطع کنند.

تمایز بین به خطر افتادن تأییدیه و به خطر افتادن عبارت بازیابی تعیین می‌کند که آیا کیف پول می‌تواند نجات یابد. راهنمای امنیتی متامسک یک خط سخت می‌کشد: اگر مشکوک هستید که عبارت بازیابی شما فاش شده است، بلافاصله از استفاده از آن کیف پول دست بردارید.

یک کیف پول جدید در یک دستگاه جدید ایجاد کنید، دارایی‌های باقیمانده را منتقل کنید و عبارت بازیابی اصلی را به طور دائم سوخته تلقی کنید. لغو تأییدیه‌ها زمانی کمک می‌کند که مهاجم فقط مجوزهای قرارداد را در اختیار دارد؛ اگر عبارت بازیابی شما از بین رفته است، کل کیف پول باید رها شود.

Chainalysis تقریباً 158000 به خطر افتادن کیف پول شخصی را که حداقل 80000 نفر را در سال 2025 تحت تأثیر قرار داد، مستند کرد، حتی با اینکه کل ارزش سرقت شده به حدود 713 میلیون دلار کاهش یافت.

مهاجمان کیف پول‌های بیشتری را برای مبالغ کوچکتر هدف قرار دادند، الگویی که ZachXBT شناسایی کرد. مفهوم عملی: سازماندهی کیف پول‌ها برای محدود کردن شعاع انفجار به اندازه اجتناب از فیشینگ اهمیت دارد.

یک کیف پول به خطر افتاده نباید به معنای از دست دادن کل پرتفوی باشد.

ساخت دفاع در عمق

ارائه‌دهندگان کیف پول ویژگی‌هایی را ارسال کرده‌اند که در صورت پذیرش این حمله را مهار می‌کردند.

متامسک اکنون تشویق می‌کند که محدودیت‌های هزینه را در تأییدیه‌های توکن تنظیم کنید نه اینکه مجوزهای پیش‌فرض "نامحدود" را بپذیرید. Revoke.cash و داشبورد Shield De.Fi طرفدار درمان بررسی تأییدیه به عنوان بهداشت معمول در کنار استفاده از کیف پول سخت‌افزاری برای نگهداری‌های بلندمدت هستند.

متامسک هشدارهای امنیتی تراکنش را از Blockaid به طور پیش‌فرض فعال می‌کند و قراردادهای مشکوک را قبل از اجرای امضاها علامت‌گذاری می‌کند.

حادثه افزونه Trust Wallet نیاز به دفاع در عمق را تقویت می‌کند. آن سوءاستفاده از تصمیمات کاربر عبور کرد و کد مخرب در یک فهرست رسمی Chrome به طور خودکار کلیدها را جمع‌آوری کرد.

کاربرانی که دارایی‌ها را در کیف پول‌های سخت‌افزاری (ذخیره سرد)، کیف پول‌های نرم‌افزاری (تراکنش‌های گرم) و والت برنر (پروتکل‌های آزمایشی) جدا کردند، قرار گرفتن محدود را محدود کردند.

آن مدل سه سطحی اصطکاک ایجاد می‌کند، اما اصطکاک نکته است. یک ایمیل فیشینگ که یک والت برنر را ضبط می‌کند صدها یا چند هزار دلار هزینه دارد. همان حمله علیه یک کیف پول واحد که کل پرتفوی را نگه می‌دارد پول تغییر زندگی هزینه دارد.

تخلیه‌کننده ZachXBT موفق شد زیرا درز بین راحتی و امنیت را هدف قرار داد. اکثر کاربران همه چیز را در یک نمونه متامسک نگه می‌دارند زیرا مدیریت چندین کیف پول دست و پاگیر است.

مهاجم شرط بندی کرد که یک ایمیل با ظاهر حرفه‌ای در روز سال نو افراد کافی را غافلگیر می‌کند تا حجم سودآوری ایجاد کند. آن شرط بندی با 107000 دلار و بیشتر سود داد.

چه چیزی در خطر است

این حادثه یک سؤال عمیق‌تر را مطرح می‌کند: چه کسی مسئولیت امنیت نقطه پایانی را در یک دنیای خود حضانتی بر عهده دارد؟

ارائه‌دهندگان کیف پول ابزارهای ضد فیشینگ می‌سازند، محققان گزارش‌های تهدید منتشر می‌کنند و تنظیم‌کننده‌ها مصرف‌کنندگان را هشدار می‌دهند. با این حال مهاجم فقط به یک ایمیل جعلی، یک لوگوی شبیه‌سازی شده و یک قرارداد تخلیه‌کننده نیاز داشت تا صدها کیف پول را به خطر بیندازد.

زیرساختی که خود حضانتی، تراکنش‌های بدون مجوز، آدرس‌های ناشناس و انتقال‌های برگشت‌ناپذیر را ممکن می‌سازد نیز آن را بی‌رحم می‌کند.

صنعت این را به عنوان یک مشکل آموزشی در نظر می‌گیرد: اگر کاربران آدرس‌های فرستنده را تأیید کنند، روی لینک‌ها شناور شوند و تأییدیه‌های قدیمی را لغو کنند، حملات شکست می‌خورند.

با این حال، داده‌های Chainalysis در مورد 158000 به خطر افتادن نشان می‌دهد که آموزش به تنهایی مقیاس‌پذیر نیست. مهاجمان سریع‌تر از آنچه کاربران یاد می‌گیرند سازگار می‌شوند. ایمیل فیشینگ متامسک از الگوهای خام "کیف پول شما قفل است!" به کمپین‌های فصلی صیقلی تکامل یافت.

سوءاستفاده از افزونه Trust Wallet ثابت کرد که حتی کاربران دقیق می‌توانند وجوه را از دست بدهند اگر کانال‌های توزیع به خطر بیفتند.

چه چیزی کار می‌کند: کیف پول‌های سخت‌افزاری برای دارایی‌های معنادار، لغو بی‌رحمانه تأییدیه، جداسازی کیف پول بر اساس پروفایل ریسک و شک نسبت به هر پیام ناخواسته از ارائه‌دهندگان کیف پول.

چه چیزی کار نمی‌کند: فرض کردن اینکه رابط‌های کیف پول به طور پیش‌فرض امن هستند، درمان تأییدیه‌ها به عنوان تصمیمات یک بار مصرف، یا تجمیع همه دارایی‌ها در یک کیف پول داغ واحد برای راحتی. تخلیه‌کننده ZachXBT خاموش خواهد شد زیرا آدرس علامت‌گذاری شده است و صرافی‌ها واریزها را مسدود خواهند کرد.

اما یک تخلیه‌کننده دیگر هفته آینده با یک الگوی کمی متفاوت و یک آدرس قرارداد جدید راه‌اندازی خواهد شد.

چرخه تا زمانی ادامه می‌یابد که کاربران درونی کنند که راحتی کریپتو یک سطح حمله ایجاد می‌کند که در نهایت مورد سوءاستفاده قرار می‌گیرد. انتخاب بین امنیت و قابلیت استفاده نیست، بلکه تا حدودی بین اصطکاک اکنون و از دست دادن بعداً است.

پست صدها کیف پول متامسک تخلیه شدند: چه چیزی را قبل از "به‌روزرسانی" بررسی کنید برای اولین بار در CryptoSlate ظاهر شد.