چه چیزهایی را قبل از 'به‌روزرسانی' بررسی کنید

محقق امنیتی آنچین ZachXBT صدها کیف پول را در چندین زنجیره EVM علامت‌گذاری کرد که با مبالغ کم، معمولاً کمتر از ۲,۰۰۰ دلار به ازای هر قربانی، تخلیه شده و به یک آدرس مشکوک هدایت می‌شوند.

مجموع سرقت از ۱۰۷,۰۰۰ دلار گذشت و همچنان در حال افزایش است. علت اصلی هنوز ناشناخته است، اما کاربران گزارش دادند که یک ایمیل فیشینگ به عنوان ارتقاء اجباری متامسک دریافت کرده‌اند، همراه با لوگوی روباه با کلاه جشن و موضوع "سال نو مبارک!".

این حمله زمانی رخ داد که توسعه‌دهندگان در تعطیلات بودند، کانال‌های پشتیبانی با تیم‌های محدود فعالیت می‌کردند و کاربران در حال مرور صندوق‌های ورودی پر از تبلیغات سال نو بودند.

مهاجمان از این فرصت سوء استفاده می‌کنند. مبالغ کم به ازای هر قربانی نشان می‌دهد که سارق از تأییدیه‌های قرارداد به جای به خطر انداختن کامل عبارت بازیابی در بسیاری از موارد عمل می‌کند، که ضررهای فردی را زیر آستانه‌ای نگه می‌دارد که قربانیان بلافاصله هشدار دهند، اما به مهاجم اجازه می‌دهد در صدها کیف پول گسترش یابد.

صنعت هنوز در حال پردازش یک حادثه جداگانه افزونه مرورگر Trust Wallet است که در آن کد مخرب در افزونه کروم نسخه ۲.۶۸ کلیدهای خصوصی را جمع‌آوری کرد و حداقل ۸.۵ میلیون دلار از ۲,۵۲۰ کیف پول را قبل از اینکه Trust Wallet به نسخه ۲.۶۹ وصله شود، تخلیه کرد.

دو سوءاستفاده متفاوت، یک درس مشترک: نقاط پایانی کاربر همچنان ضعیف‌ترین حلقه باقی می‌مانند.

آناتومی یک ایمیل فیشینگ که کار می‌کند

ایمیل فیشینگ با مضمون متامسک نشان می‌دهد که چرا این حملات موفق می‌شوند.

هویت فرستنده "MetaLiveChain" را نشان می‌دهد، نامی که به طور مبهم شبیه DeFi به نظر می‌رسد اما هیچ ارتباطی با متامسک ندارد.

هدر ایمیل حاوی یک لینک لغو اشتراک برای "[email protected]" است که نشان می‌دهد مهاجم الگوها را از کمپین‌های بازاریابی قانونی برداشته است. بدنه متن لوگوی روباه متامسک را با کلاه جشن نشان می‌دهد که شادی فصلی را با فوریت ساختگی در مورد "به‌روزرسانی اجباری" ترکیب می‌کند.

این ترکیب از اکتشافی که اکثر کاربران برای کلاه‌برداری‌های آشکار اعمال می‌کنند، عبور می‌کند.

مستندات امنیتی رسمی متامسک قوانین روشنی را تعیین می‌کند. ایمیل‌های پشتیبانی فقط از آدرس‌های تأیید شده مانند [email protected] می‌آیند و هرگز از دامنه‌های شخص ثالث نمی‌آیند.

ارائه‌دهنده کیف پول ایمیل‌های ناخواسته‌ای را که تقاضای تأیید یا ارتقاء دارند، ارسال نمی‌کند.

علاوه بر این، هیچ نماینده‌ای هرگز عبارت بازیابی را درخواست نخواهد کرد. با این حال این ایمیل‌ها کار می‌کنند زیرا از شکاف بین آنچه کاربران از نظر ذهنی می‌دانند و آنچه وقتی یک پیام با ظاهر رسمی می‌رسد، به طور انعکاسی انجام می‌دهند، سوءاستفاده می‌کنند.

چهار سیگنال فیشینگ را قبل از وقوع آسیب آشکار می‌کنند.

اول، عدم تطابق برند-فرستنده، زیرا برندسازی متامسک از "MetaLiveChain" نشان‌دهنده سرقت الگو است. دوم، فوریت ساختگی در مورد به‌روزرسانی‌های اجباری که متامسک صراحتاً می‌گوید ارسال نخواهد کرد.

سوم، URLهای مقصد که با دامنه‌های ادعا شده مطابقت ندارند، قرار دادن ماوس قبل از کلیک کردن هدف واقعی را نشان می‌دهد. چهارم، درخواست‌هایی که قوانین اصلی کیف پول را نقض می‌کنند، مانند درخواست عبارت بازیابی یا درخواست امضا برای پیام‌های مبهم آف چین.

مورد ZachXBT مکانیک فیشینگ امضا را نشان می‌دهد. قربانیانی که روی لینک ارتقاء جعلی کلیک کردند، احتمالاً یک تأییدیه قرارداد را امضا کرده‌اند که به سارق اجازه انتقال توکن‌ها را می‌دهد.

آن امضای واحد درب را به روی سرقت مداوم در چندین زنجیره باز کرد. مهاجم مبالغ کم به ازای هر کیف پول را انتخاب کرد زیرا تأییدیه‌های قرارداد اغلب به طور پیش‌فرض سقف‌های خرج نامحدود دارند، اما تخلیه همه چیز تحقیقات فوری را آغاز می‌کند.

پخش سرقت در صدها قربانی با ۲,۰۰۰ دلار هر کدام زیر رادار فردی پرواز می‌کند در حالی که مجموع شش رقمی را انباشته می‌کند.

لغو تأییدیه‌ها و کاهش شعاع انفجار

هنگامی که روی یک لینک فیشینگ کلیک می‌شود یا یک تأییدیه مخرب امضا می‌شود، اولویت به مهار تغییر می‌کند. متامسک اکنون به کاربران اجازه می‌دهد مجوزهای توکن را مستقیماً در MetaMask Portfolio مشاهده و لغو کنند.

Revoke.cash کاربران را از طریق یک فرآیند ساده راهنمایی می‌کند: کیف پول خود را متصل کنید، تأییدیه‌ها را به ازای هر شبکه بررسی کنید و تراکنش‌های لغو را برای قراردادهای غیرقابل اعتماد ارسال کنید.

صفحه Token Approvals اتراسکن همان عملکرد را برای لغو دستی تأییدیه‌های ERC-20، ERC-721 و ERC-1155 ارائه می‌دهد. این ابزارها مهم هستند زیرا قربانیانی که سریع عمل می‌کنند می‌توانند دسترسی سارق را قبل از از دست دادن همه چیز قطع کنند.

تمایز بین به خطر افتادن تأییدیه و به خطر افتادن عبارت بازیابی تعیین می‌کند که آیا یک کیف پول قابل نجات است یا خیر. راهنمای امنیتی متامسک یک خط سخت ترسیم می‌کند: اگر مشکوک هستید که عبارت بازیابی شما افشا شده است، فوراً استفاده از آن کیف پول را متوقف کنید.

یک کیف پول جدید در یک دستگاه تازه ایجاد کنید، دارایی‌های باقی‌مانده را منتقل کنید و عبارت بازیابی اصلی را به طور دائم سوخته در نظر بگیرید. لغو تأییدیه‌ها زمانی کمک می‌کند که مهاجم فقط مجوزهای قرارداد را در اختیار داشته باشد؛ اگر عبارت بازیابی شما از دست رفته است، کل کیف پول باید رها شود.

Chainalysis تقریباً ۱۵۸,۰۰۰ به خطر افتادن کیف پول شخصی را که حداقل ۸۰,۰۰۰ نفر را در سال ۲۰۲۵ تحت تأثیر قرار داده، مستند کرد، حتی در حالی که کل ارزش سرقت شده به تقریباً ۷۱۳ میلیون دلار کاهش یافت.

مهاجمان کیف پول‌های بیشتری را با مبالغ کمتر هدف قرار دادند، الگویی که ZachXBT شناسایی کرد. پیامد عملی: سازماندهی کیف پول‌ها برای محدود کردن شعاع انفجار به اندازه اجتناب از فیشینگ اهمیت دارد.

یک کیف پول به خطر افتاده نباید به معنای از دست دادن کل پرتفوی باشد.

ایجاد دفاع در عمق

ارائه‌دهندگان کیف پول ویژگی‌هایی را ارسال کرده‌اند که در صورت پذیرش، این حمله را مهار می‌کرد.

متامسک اکنون تشویق می‌کند که سقف‌های خرج را بر روی تأییدیه‌های توکن تنظیم کنید به جای پذیرش مجوزهای پیش‌فرض "نامحدود". Revoke.cash و داشبورد Shield شرکت De.Fi توصیه می‌کنند که بررسی تأییدیه‌ها را به عنوان بهداشت معمول در کنار استفاده از کیف پول سخت‌افزاری برای نگهداری‌های بلندمدت در نظر بگیرید.

متامسک هشدارهای امنیتی تراکنش را از Blockaid به طور پیش‌فرض فعال می‌کند و قراردادهای مشکوک را قبل از اجرای امضاها علامت‌گذاری می‌کند.

حادثه افزونه Trust Wallet نیاز به دفاع در عمق را تقویت می‌کند. آن سوءاستفاده تصمیمات کاربر را دور زد و کد مخرب در فهرست رسمی کروم به طور خودکار کلیدها را جمع‌آوری کرد.

کاربرانی که دارایی‌ها را در کیف پول‌های سخت‌افزاری (ذخیره‌سازی سرد)، کیف پول‌های نرم‌افزاری (تراکنش‌های گرم) و والت برنر (پروتکل‌های تجربی) جداسازی کردند، قرار گرفتن را محدود کردند.

آن مدل سه سطحی اصطکاک ایجاد می‌کند، اما اصطکاک نکته است. یک ایمیل فیشینگ که یک والت برنر را دستگیر می‌کند، صدها یا چند هزار دلار هزینه دارد. همان حمله علیه یک کیف پول واحد که کل پرتفوی را نگه می‌دارد، پول تغییر دهنده زندگی هزینه دارد.

سارق ZachXBT موفق شد زیرا درز بین راحتی و امنیت را هدف قرار داد. اکثر کاربران همه چیز را در یک نمونه متامسک نگه می‌دارند زیرا مدیریت چندین کیف پول دشوار است.

مهاجم شرط بست که یک ایمیل با ظاهر حرفه‌ای در روز سال نو افراد کافی را غافلگیر می‌کند تا حجم سودآوری ایجاد کند. این شرط با ۱۰۷,۰۰۰ دلار و بیشتر، نتیجه داد.

چه چیزی در خطر است

این حادثه یک سؤال عمیق‌تر را مطرح می‌کند: چه کسی مسئولیت امنیت نقطه پایانی را در یک دنیای خود-امانی بر عهده دارد؟

ارائه‌دهندگان کیف پول ابزارهای ضد فیشینگ می‌سازند، محققان گزارش‌های تهدید منتشر می‌کنند و تنظیم‌کنندگان به مصرف‌کنندگان هشدار می‌دهند. با این حال مهاجم فقط به یک ایمیل جعلی، یک لوگوی شبیه‌سازی شده و یک قرارداد سارق نیاز داشت تا صدها کیف پول را به خطر بیندازد.

زیرساختی که خود-امانی، تراکنش‌های بدون مجوز، آدرس‌های مستعار و انتقال‌های غیرقابل برگشت را امکان‌پذیر می‌کند، همچنین آن را بی‌رحم می‌سازد.

صنعت این را به عنوان یک مشکل آموزشی در نظر می‌گیرد: اگر کاربران آدرس‌های فرستنده را تأیید کنند، روی لینک‌ها ماوس را قرار دهند و تأییدیه‌های قدیمی را لغو کنند، حملات شکست می‌خورند.

با این حال، داده‌های Chainalysis در مورد ۱۵۸,۰۰۰ به خطر افتادن نشان می‌دهد که آموزش به تنهایی مقیاس‌پذیر نیست. مهاجمان سریع‌تر از یادگیری کاربران سازگار می‌شوند. ایمیل فیشینگ متامسک از الگوهای خام "کیف پول شما قفل شده است!" به کمپین‌های فصلی صیقلی تکامل یافت.

سوءاستفاده از افزونه Trust Wallet ثابت کرد که حتی کاربران محتاط هم می‌توانند در صورت به خطر افتادن کانال‌های توزیع، وجوه خود را از دست بدهند.

آنچه کار می‌کند: کیف پول‌های سخت‌افزاری برای نگهداری‌های معنی‌دار، لغو بی‌رحمانه تأییدیه‌ها، جداسازی کیف پول بر اساس پروفایل ریسک و شکاکیت نسبت به هر پیام ناخواسته از ارائه‌دهندگان کیف پول.

آنچه کار نمی‌کند: فرض کردن که رابط‌های کیف پول به طور پیش‌فرض ایمن هستند، رفتار با تأییدیه‌ها به عنوان تصمیمات یک‌باره، یا تجمیع همه دارایی‌ها در یک کیف پول داغ واحد برای راحتی. سارق ZachXBT تعطیل خواهد شد زیرا آدرس علامت‌گذاری شده است و صرافی‌ها واریزها را مسدود خواهند کرد.

اما یک سارق دیگر هفته آینده با یک الگوی کمی متفاوت و یک آدرس قرارداد جدید
راه‌اندازی خواهد شد.

چرخه تا زمانی ادامه دارد که کاربران درونی کنند که راحتی کریپتو یک سطح حمله ایجاد می‌کند که در نهایت مورد سوءاستفاده قرار می‌گیرد. انتخاب بین امنیت و قابلیت استفاده نیست، بلکه تا حدودی بین اصطکاک اکنون و ضرر بعداً است.