خطر در کمین کاربران متامسک؛ هشدار به کاربران دیفای این کیف پول

افراد زیادی که از کیف پول متامسک استفاده کرده و آن را به پروتکل‌های مختلف در حوزه دیفای متصل کرده‌اند، به یکباره تمام دارایی موجود در کیف پول آن‌ها تخلیه شده و به کلی رمز ارزهای خود را از دست داده‌اند. احتمالا وجود یک نقص امنیتی در این کیف پول برای کاربران فعال در حوزه دیفای، دردسرساز شده که منجر به از دست رفتن دارایی دیجیتال این افراد شده است.

این مقاله مخصوص افرادی است که فعالیت بسیار زیادی در حوزه دیفای داشته و Defi را به صورت حرفه‌ای دنبال می‌کنند؛ لذا اگر از کیف پول Metamask برای اتصال به پروژه‌های دیفای استفاده نمی‌کنید و یا با پروژه‌های مشهور حوزه امور مالی غیرمتمرکز مانند آوه، یونی سواپ، وان اینچ، کامپوند، میکر و غیره کار می‌کنید، خطری شما را تهدید نمی‌کند و نگرانی به دل خود راه ندهید.

اما اگر کاربر فعال حوزه دیفای هستید و مدام از صرافی‌های غیرمتمرکز، پلتفرم‌های لندینگ و به طور کلی از پروتکل‌هایی که به تازگی اپلیکیشن خود را لانچ کرده و یا پروژه مشهوری نیستند استفاده می‌کنید، حتما این مقاله رو مطالعه کنید.

همچنین تاکید داریم که تا این لحظه هیچ خبر رسمی مبنی بر هک گسترده در کیف پول متامسک منتشر نشده و این مطلب صرفا تجربه ما در استفاده از کیف پول متامسک در پروژه‌های دیفای بوده و هشداری برای کاربران حرفه‌ای بازار ارزهای دیجیتال است.

آنچه در این مطلب می‌خوانید

آیا کیف پول متامسک هک شده است؟

کیف پول متامسک یکی از کیف پول‌های مطرح در شبکه اتریوم و به طور کلی در حوزه ارزهای دیجیتال است. Metamask یک کیف پول مبتنی بر مرورگر در شبکه اتریوم بوده که پل ارتباطی میان مرورگرهای اینترنت و اپلیکیشن‌های غیرمتمرکزی است که بر روی شبکه اتریوم راه‌اندازی شده‌اند. این کیف پول بستری را ایجاد کرده که از طریق آن می‌توان بدون راه‌اندازی یک نود کامل (Full Node) در شبکه بلاکچین اتریوم، با این شبکه در تعامل بود.

افراد با دانلود Extension متامسک بر روی مرورگر اینترنت خود (مانند گوگل کروم، فایرفاکس، بریو) می‌توانند از این کیف پول برای اتصال به پروتکل‌های دیفای و انجام تراکنش در آنها استفاده کنند. همانند سایر کیف پول‌های نرم‌افزاری، شما می‌توانید در متامسک، کیف پول اتریوم خود را بسازید. در زمان ساخت کیف پول، عبارت بازیابی یا Seed کیف پول شما در اختیار شما قرار می‌گیرد. این کلمات بازیابی به صورت آفلاین ایجاد می‌شود و به صورت رمزنگاری شده در سیستم شما (لپ تاپ یا گوشی موبایل) ذخیره می‌شود. Metamask ادعا می‌کند که فایل رمزنگاری شده Seed کاربران خود را در سرورهای خود ذخیره نمی‌کند و این فایل تنها در سیستم کاربر ذخیره می‌شود.

اتریوم چیست ؟ آشنایی با اتریوم به زبان ساده

در زمان ساخت این کیف پول، باید رمز عبوری برای آن انتخاب کنید. این رمز عبور به علاوه فایل رمزنگاری شده Seed دو ورودی تابع رمزگشایی (Decryptor) کیف پول متامسک است؛ یعنی اگر کسی به این دو اطلاعات شما دسترسی داشته باشد، به راحتی می‌تواند عبارت بازیابی کیف پول شما را به دست آورده و تمام دارایی شما را خارج کند.

فایل رمزنگاری شده Seed کجا ذخیره می‌شود؟

اگر بر روی لپ تاپ یا کامپیوتر خود کیف پول متامسک را دانلود کرده‌اید، Seed یا عبارت بازیابی والت شما در همان سیستم ذخیره می‌شود. این فایل مطابق آدرس زیر در دسترس شما خواهد بود. پیش از این کار باید تیک نمایش فایل‌های Hide شده در سیستمتان را فعال کنید.

C:\Users\USER_NAME\AppData\Local\Google\Chrome\UserData\Default\Local Extension Settings\nkbihfbeogaeaoehlefnkodbefgpgknn

در بخشی که ما Username نوشته‌ایم، پوشه نام کامپیوتر شما خواهد بود. در انتها، فایل Text که فرمت اسم آن به صورت 002 ( این عدد ۲ بستگی دارد که در کیف پول متامسک خود، چند اکانت یا کیف پول ساخته‌اید؛ چون ما دو اکانت در این متامسک داریم، این عدد برای ما ۲ است. ممکن است این عدد برای شما ۱ یا ۳ یا هر عدد دیگری باشد) را باز کنید. این فایل text در نگاه اول بسیار گیج کننده و پر از اعداد و حروف بی معنی است؛ تصویر زیر را ببینید:

فایل رمزنگاری شده Seed کجا ذخیره می‌شود؟

عبارت رمزنگاری شده Seed کیف پول شما در این فایل ذخیره شده است. اگر فردی بخواهد عبارت Seed شما را رمزگشایی کند، تنها به دو چیز احتیاج دارد:

۱. همین فایل تکستی که Seed شما به صورت رمزنگاری شده در آن ذخیره شده است.

۲. رمز عبوری که برای کیف پول متامسک خود انتخاب کرده‌اید.

برای یافتن متن رمزنگاری شده Seed کیف پول متامسک، این کیف پول را باز کنید و با راست کلیک کردن روی صفحه، گزینه Inspect را انتخاب کنید؛ مانند تصویر زیر:

پس از انجام این کار تصویری مشابه عکس زیر را مشاهده می‌کنید. مطابق تصویر بر روی Console کلیک کنید و عبارت زیر را از اینجا کپی کنید:

chrome.storage.local.get(‘data’, result => {
var vault = result.data.KeyringController.vault
console.log(vault)
})

عبارت بالا را مطابق تصویر زیر در بخش کنسول پیست کنید:

پس از پیست کردن این عبارت، Enter را بزنید. در گام بعد عبارت رمزنگاری شده Seed خود را مشاهده خواهید کرد. این عبارت رمزنگاری شده با {“data”: آغاز و با “} به پایان می‌رسد. این عبارت همان Seed کیف پول شماست که بر روی سیستم شما به صورت رمزنگاری شده ذخیره شده است.

عبارت ۱۲ کلمه‌ای که کیف پول متامسک در زمان ایجاد یک کیف پول به شما می‌دهد، همین متنی است که مشاهده می‌کنید. ولی Metamask آن ۱۲ کلمه را با استفاده از رمز عبور کیف پول شما رمزنگاری کرده که حاصل آن این عبارت پیش روی شماست. اکنون این عبارت را کپی کنید و وارد سایت https://metamask.github.io/vault-decryptor/ شوید. با چنین صفحه‌ای مواجه خواهید شد:

از آنجا که متامسک یک پروژه Open Source است، تمام کدهای آن به صورت شفاف در گیت هاب آن قرار دارد. الگوریتم رمزنگاری آن نیز مشخص است. در مقابل، الگوریتم رمزگشایی آن نیز شفاف و مشخص در دسترس همه است. سایتی که در بالا اشاره شد، ابزاری است که خروجی الگوریتم رمزنگاری در متامسک را رمزگشایی خواهد کرد. برای رمزگشایی دو فاکتور نیاز است:

۱: فایل متنی رمزنگاری شده Seed که در سیستم کاربر ذخیره است. این مورد را با هم در سیستم خود یافتیم
۲: رمز عبور کیف پول متامسک

همانطور که در سایت بالا مشاهده می‌کنید، Metamask Vault Decryptor از شما همین دو مورد را می‌خواهد. شما می‌توانید برای کیف پول خود امتحان کنید. اگر عبارت رمزنگاری شده Seed را در باکس Paste Your Vault Data Here پیست کنید و در باکس Password رمز عبور کیف پول خود را وارد کنید، ۱۲ کلمه Seed خود را مشاهده خواهید کرد.

اکنون اگر فردی به این دو اطلاعات شما دسترسی داشته باشد، به راحتی می‌تواند Seed شما را استخراج کرده و تمام دارایی شما را از کیف پولتان خارج کند. البته این اتفاق در مورد همه کیف پول‌های نرم‌افزاری مشابه است. به همین دلیل این کیف پول‌ها در مقایسه با کیف پو‌ل‌های سخت افزاری امنیت پایین‌تری دارند.

خب تا اینجا متوجه شدیم که کلید خصوصی ما به صورت رمزنگاری شده در سیستم ما ذخیره می‌شود که اگر کسی به رمز عبور کیف و این دیتا دسترسی پیدا کند، کلید خصوصی ما را متوجه شده و می‌تواند دارایی ما را از کیف پول خارج کند. در بخش بعدی، تجربه افرادی که همین اتفاق برایشان افتاده را مرور می‌کنیم.

قربانیان هک در کیف پول Metamask

تقریبا پنج ماه پیش یکی از کاربران کیف پول متامسک در فروم این کیف پول از هک شدن والت خود خبر داد. او در پیام خود نوشت که به هیچ عنوان کلید خصوصی خود را در اختیار کسی قرار نداده، اما تمام دارایی دیجیتالی که در کیف پول متامسک ذخیره کرده را از دست داده است. واکنش اولیه سایر کاربران متامسک این بود که احتمالا کیف پول را از منبع جعلی دانلود کرده‌اید و یا از Seed خود به دقت مراقبت نکرده و در اختیار فرد دیگری قرار داده‌اید.

به تدریج به تعداد افرادی که تمام دارایی آنها در کیف پول Metamask به سرقت رفته بود، افزوده شد. برخی آدرس کیف پول هکر را نیز ارائه داده‌اند که با بررسی تراکنش‌ها متوجه می‌شویم که هکر بلافاصله پس از خارج کردن دارایی این کیف پول، آن را بین چندین کیف پول چرخانده و در نهایت در یونی سواپ آن را مبادله کرده است.

پس از گذشت یک ماه، سرانجام ادمین فروم متامسک پاسخ کاربران را این چنین داد:

ما از شنیدن این اتفاق بسیار متاسفیم. لطفا با استفاده از آدرس اتریوم خود به پشتیبانی متامسک تیکت بزنید تا موضوع را بررسی کنیم.

پس از این واکنش متامسک، کاربران بیشتری به بحث اضافه شدند و تمام آنها از هک شدن کیف پول خود خبر دادند. برخی از کاربران گفتند که پس از اتصال کیف پول متامسک خود به سایت Daopoker کیف پول آنها هک شده و دارایی آنها به سرقت رفته است. ادمین Metamask در پاسخ به این کاربران نوشت:

احتمالا شما در زمان اتصال به این سایت، به او اجازه دسترسی به کیف پول خود را داده‌اید و او از این مجوز سواستفاده کرده و تمام دارایی شما را به سرقت برده است.

در نهایت این ادمین با نوشتن پیام زیر تلویحا وجود مشکل امنیتی در کیف پول متامسک را تایید کرد. این پیام ۲۰ روز پیش توسط ادمین متامسک منتشر شده است:

سلام به همه
از شنیدن مشکل پیش آمده برای تعداد زیادی از کاربرانمان مجددا ابراز تاسف می‌کنم. ما به صورت جدی در حال تلاش برای جلوگیری از وقوع چنین اتفاقاتی هستیم تا با شناسایی آن مشکل را برطرف کنیم.

تمام این مکالمات را از اینجا مشاهده کنید.

تقریبا یک ماه پیش یکی از کاربرانی که مشخصا یک کاربر حرفه‌ای در حوزه دیفای است، از هک شدن کیف پولش خبر داد. او خطاب به متامسک نوشت:

در زمان اتصال API متامسک به پروتکل‌های دیفای آسیب‌پذیری وجود دارد. لطفا این مشکل را برطرف کنید. هیچ هکی اتفاق نیافتاده است. من و کاربران من تنها با استفاده از متامسک به یونی سواپ و دیگر پروتکل‌های دیفای متصل شده‌ایم. نه هکی اتفاق افتاده و نه حمله فیشینگ بوده. این مشکل در API متامسک است.

این مکالمه را از اینجا مشاهده کنید.

پشنهاداتی به کاربران میهن بلاکچین

از آنجایی که هنوز هیچ خبری مبنی بر وجود مشکل امنیتی در کیف پول متامسک منتشر نشده، برای ما نیز وجود چنین مشکلی قطعی نیست؛ اما تعداد افرادی که به همین طریق دارایی خود را از دست داده‌اند کم نیست. لذا در استفاده از کیف پول Metamask برای تراکنش‌ها با سرمایه بالا، بسیار محتاطانه عمل کنید. ظاهرا در این کیف پول باگی وجود دارد که افرادی از این باگ مطلع شده و به دنبال سوءاستفاده از آن هستند.

هر چند برخی از قربانیان مدعی شده‌اند که آنها تنها از متامسک برای اتصال به Uniswap و دیگر پروتکل‌های معروف دیفای استفاده کرده‌اند، اما به نظر می‌رسد پروتکل‌های مشهور این حوزه کاملا امن بوده و از این باگ (در صورت وجود باگ) استفاده‌ای نکرده‌اند.

از آنجاکه برای رمزگشایی کردن Seed کاربر به رمز عبور کیف پول نیاز است، حتما در انتخاب رمز عبور دقت کنید. حتما این پسورد را ترکیبی از اعداد، حروف بزرگ و کوچک انگلیسی و علائم خاص مثل @،$ و غیره انتخاب کنید.

تا زمان مشخص شدن موضوع، دارایی زیادی در متامسک نگهداری نکنید. به طور کلی، استفاده از کیف پول‌های نرم‌افزاری ریسک بالاتری در مقایسه با کیف پول‌های سخت افزاری دارند. اگر دارایی دیجیتال شما زیاد است، حتما از کیف پول‌های سخت افزاری برای نگهداری دارایی خود استفاده کنید.

اگر پروژه دیفای‌ را نمی‌شناسید، والت خود را به آن متصل نکنید. بسیاری از کاربران زمانی که کیف پول خود را به یک پروتکل شناخته نشده وصل کرده‌اند، دچار مشکل شده‌اند. مطمئنا پروژه‌های مشهور Defi چنین مشکلی ندارند؛ زیرا در صورتی که آنها هم آسیب پذیر بودند، تاکنون خبر هک شدن کیف پول متامسک تمام سایت‌های خبری را پر کرده بود. از این رو به نظر می‌رسد که پروتکل‌های معروف دیفای امن هستند.