ایل بلوم (Ill Bloom) یک آسیبپذیری در تولید کیف پول است که به دلیل ضعف در تولید اعداد تصادفی هنگام ساخت عبارت بازیابی (Recovery Phrase) ایجاد شده است. وجوهی که توسط یک عبارت بازیابیِ آسیبدیده کنترل میشوند، در چندین بلاکچین مختلف در معرض خطر سرقت قرار دارند.
این مقاله از میهن بلاکچین، نمایی از یک مجموعه آدرس تحلیلشده را تا تاریخ ۳۰ ژوئن ۲۰۲۶ پوشش میدهد. هدف این گزارش، مستندسازی میزان در معرض خطر بودن حسابها در گذشته، فعالیتهای تاییدشده و همچنین بررسی ابعاد رویداد تخلیه مشاهدهشده در تاریخ ۲۷ می ۲۰۲۶ است.
تا ۳۰ ژوئن ۲۰۲۶، این مجموعه شامل ۲۱۱۴ آدرس در بلاکچینهای بیتکوین، اتریوم، ترون، روتاستاک و پالیگان است که همگی دارای فعالیت آنچینن بودهاند. در رویداد سرقت گسترده مورخ ۲۷ می ۲۰۲۶، ۴۳۱ حساب تخلیه شدند و داراییهایی به ارزش تقریبی ۳,۱۴۰,۹۶۸ دلار به سرقت رفت. این تحقیقات هنوز در جریان است و حسابهای آسیبدیده جدید به طور مداوم شناسایی میشوند.
مجموعه آدرسهای تحلیلشده
مجموعه دادههای بررسیشده در این گزارش تحت عنوان «مجموعه آدرسهای در معرض خطر ایل بلوم ۱ – ژوئن ۲۰۲۶» شناخته میشود.
فیلد مقدار نام مجموعه مجموعه آدرسهای در معرض خطر ایل بلوم ۱ (ژوئن ۲۰۲۶) بروزرسانی تا تاریخ ۳۰ ژوئن ۲۰۲۶ بلاکچینهای تحت پوشش بیتکوین، اتریوم، ترون، روتاستاک، پالیگان سیدهای (عبارات بازیابی) شناساییشده ۲۱۱۴ سیدهای تخلیهشده در تاریخ ۲۷ می ۲۰۲۶ ۴۳۱
این مجموعه داده تنها نمایانگر زیرمجموعهای از آدرسهای آسیبدیدهای است که در حال حاضر تحت نظارت و تحلیل فعال قرار دارند. این فهرست شامل تمام بلاکچینها یا تمام کیفپولهایی که ممکن است تحتتاثیر آسیبپذیری ایل بلوم قرار گرفته باشند، نیست. ممکن است آدرسهای آسیبدیده دیگری در شبکههای دیگر وجود داشته باشند و با ادامه تحقیقات شناسایی شوند.
ارقام گزارششده در ادامه، باید به عنوان حداقل میزان خسارت قطعی بر اساس مشاهدات تاییدشده در همین مجموعه در نظر گرفته شوند.
ارزش تخلیهشده
تخلیه انجامشده در ۲۷ می ۲۰۲۶، بر ۴۳۱ حساب تاثیر گذاشت و تقریباً ۳,۱۴۰,۹۶۸ دلار را جابجا کرد. این تخلیه بین یک کیفپول نرمافزاری خاصِ شناساییشده (تحت عنوان Wallet 1) و یک گروه کلیِ دیگر (تحت عنوان Other) تقسیم شده است، زیرا مقیاس این دو گروه تفاوت فاحشی با هم دارد.
حسابهای تخلیهشده بر اساس گروه:
گروه حسابهای تخلیهشده ارزش تخلیهشده کیف پول ۱ (Wallet 1) ۲۶۰ ۲۸۳,۱۰۰ دلار سایر موارد (Other) ۱۷۱ ۲,۸۵۷,۸۶۸ دلار مجموع ۴۳۱ ۳,۱۴۰,۹۶۸ دلار
ارزش تخلیهشده بر اساس زنجیره (بلاکچین):
حسابهای «کیف پول ۱» اکثریت حسابهای هکشده را تشکیل میدهند اما تنها سهم کوچکی از ارزش مالی را در بر میگیرند:
۲۶۰ حساب از ۴۳۱ حساب (حدود ۶۰٪) اما تنها ۲۸۳,۱۰۰ دلار از ۳,۱۴۰,۹۶۸ دلار (حدود ۹٪).
ارزش اصلی در حسابهای گروه «سایر موارد» متمرکز است. در یک مورد، تنها یکی از حسابهای بیتکوینِ تخلیهشده به تنهایی بیش از ۱.۱ میلیون دلار موجودی داشته است.
خط زمانی اولین تامین مالی
اولین تامین مالیِ یک کیفپول، با ثبت اولین تراکنش ورودی به هر آدرس مشخص میشود.
در بین بلاکچینهای گزارششده، ۲۱۱۴ آدرس بین سپتامبر ۲۰۱۸ تا می ۲۰۲۶ فعالیت ثبت کردهاند. واریز وجه به آدرسهای آسیبپذیر در طول سالهای ۲۰۲۵ و ۲۰۲۶ نیز ادامه داشته است، حتی در همان ماهِ وقوع سرقت (می ۲۰۲۶) کیفپولهای جدیدی با کلیدهای ضعیف ساخته شده و موجودی دریافت کردهاند.
وجوه در معرض خطر در طول زمان
«وجوه در معرض خطر» به ارزش دلاری بازسازیشده از کل داراییهای نگهداریشده در این آدرسها (محاسبهشده به صورت ماهانه) اشاره دارد. این معیار نشان میدهد که در یک نقطه زمانی مشخص در گذشته، سارقان به چه مقدار ارزش مالی دسترسی داشتهاند.
مجموعه آدرسهای تحلیلشده در آوریل ۲۰۲۲ به اوج در معرض خطر بودنِ خود، یعنی رقمی در حدود ۱۲.۵۶ میلیون دلار رسید، سپس این رقم به دلیل روند نزولی بازار ارزهای دیجیتال کاهش یافت و نهایتاً در می ۲۰۲۶ (در زمان وقوع رویداد تخلیه) با یک سقوط شدید مواجه شد.
اوج موجودی در معرض خطر:
گروه بالاترین میزان در معرض خطر ماه اوج کیف پول ۱ (Wallet 1) ۶۱۰,۰۰۰ دلار آگوست ۲۰۲۵ سایر موارد (Other) ۱۲.۴ میلیون دلار سال ۲۰۲۲ کل مجموعه ۱۲.۵۶ میلیون دلار آوریل ۲۰۲۲
کاهش ارزشِ در معرض خطر از سال ۲۰۲۲ تا ۲۰۲۶، بیشتر نشاندهنده سقوط قیمت کوینها در بازار است تا اینکه نشاندهنده یک سرقت تدریجی باشد. اما افت ناگهانی در می ۲۰۲۶، دقیقاً مربوط به رویداد سرقت است.
رقم ۱۲.۵۶ میلیون دلار صرفاً نشاندهنده «بیشترین موجودی قابلدسترس در گذشته» است، نه پولی که واقعاً به سرقت رفته است. مبلغ تاییدشدهای که سارقان موفق به خروج آن شدهاند همان ۳.۱ میلیون دلار است.
رویداد تخلیه
ما در این بررسی، «تخلیه» را به عنوان حسابی تعریف کردهایم که با ارسال یک تراکنش خروجی یکباره، حداقل ۹۸٪ از موجودی خود را به مقصدی خارج از این مجموعه آدرس منتقل کرده باشد.
الگوی خروج وجوه:
برای تمایز دادن فعالیتهای عادیِ کاربران از یک عملیات سرقتِ هماهنگشده، هر خروجی در نمودارهای تحلیلی با یک حباب نشان داده شده است:
فیلد معنی و کاربرد محور X (افقی) تاریخ خروج وجه محور Y (عمودی) ارزش جابجا شده (به دلار) اندازه حباب مقدار (حجم) تراکنش رنگ حباب میزان همگرایی مقصد (تعداد حسابهای مختلفی که پول خود را به یک آدرس مقصدِ یکسان فرستادهاند)
فعالیتهای عادی معمولاً به شکل تراکنشهای پراکنده به مقصدهای متفرقه دیده میشوند. اما یک عملیات پاکسازی هماهنگشده شکل متفاوتی دارد: تعداد زیادی از حسابهای نامرتبط، همزمان در یک بازه زمانی کوتاه، وجوه خود را به تعداد انگشتشماری آدرس مشترک ارسال میکنند.
در تاریخ ۲۷ می ۲۰۲۶، در کل مجموعه آدرسهای تحلیلشده، این تخلیه به شکل یک «ستون خروجی متمرکز» خود را نشان داد؛ به طوری که بسیاری از حسابهای آسیبدیده در عرض چند ساعت، دارایی خود را به چند آدرسِ جمعآوریکننده در شبکه اتریوم واریز (تخلیه) کردند.
نتیجهگیری
«مجموعه آدرسهای در معرض خطر ۱» نشاندهنده حداقل ۳.۱ میلیون دلار سرقت قطعی از ۴۳۱ حساب در تاریخ ۲۷ می ۲۰۲۶ است. ارزش تاریخی موجود در این حسابها قبلاً بسیار بالاتر بوده و در آوریل ۲۰۲۲ به اوج ۱۲.۵۶ میلیون دلار رسیده بود.
این تحقیقات هنوز ادامه دارد و آدرسهای آسیبدیده بیشتری از طریق جستجوی عبارات بازیابی آسیبپذیر و تحلیل آنچین در حال شناسایی هستند. نتایج و یافتههای این بررسی به منظور هماهنگی برای مهار این آسیبپذیری، با نهادهای کلیدی اکوسیستم کریپتو به اشتراک گذاشته میشود.
















