یکی از محققان امنیت سایبری اخیرا توییتی منتشر کرده و در آن نسبت به شگرد جدید کلاهبرداران برای سرقت از سرمایهگذاران هشدار داده است. به گفته این محقق امنیتی، ظاهرا کلاهبرداران با انجام تراکنشهای فیک و افزایش دروغین حجم معاملات، میم کوینهای خود را به لیست ترند وبسایت GMGN وارد میکنند و در نهایت پس از جلب توجه سرمایهگذاران ناآگاه، پول آنها را به سرقت میبرند!
به گزارش میهن بلاکچین و به نقل از این محقق امنیت سایبری که با نام مستعار Roffett.eth فعالیت میکند، هکرها در این حملات ارزهای دیجیتالی را طراحی کردهاند که به توسعهدهنده اجازه میدهند تا توکنهای کاربران را بدون اطلاع آنها منتقل کنند. این هکرها سپس توکنها را بین چندین حساب مختلف جابجا میکنند و به طور مصنوعی حجم معاملات آن را افزایش میدهند. این در نهایت باعث میشود تا کوین آنها در لیست ترند وبسایت GMGN قرار بگیرد.
نگاهی به جزییات این کلاهبرداری جدید
GMGN یک وبسایت تحلیلی است که برای معاملهگران میم کوینهای ترند در شبکههای بیس، سولانا، ترون، بلست و اتریوم را مشخص میکند. این وبسایت همچنین معیارهای گوناگونی را برای توکنهای مختلف زیر ذرهبین میبرد.
هنگامی که این کوینها وارد لیست ترند GMGN میشود، کاربران ناآگاه آن را خریداری میکنند. با این حال، در عرض چند دقیقه کوینهای خریداری شده از کیف پول آنها خارج و دیگر دیده نمیشوند. سپس توسعهدهنده کوینها را مجددا در استخر نقدینگی خود ذخیره میکند و آن را به قربانی دیگری میفروشد.
به گفته این محقق امنیتی، توکنهای Robotaxi، DFC و NICK نمونهای از این کوینها هستند.
Roffett.eth میگوید این تکنیک کلاهبرداری را پس از آن کشف کرده که دوستان او برخی از این کوینها را خریداری کرده و متوجه ناپدید شدن آنها شدهاند. یکی از دوستان وی پس از این اتفاق با فرض بر اینکه کیف پولش هک شده، با کیف پولی جدید دوباره این کوینها را خریداری کرده اما مجددا ناپدید شدهاند.
این محقق در ادامه با بررسی دادههای اکسپلورر بلاکچینی به این فرضیه رسیده که احتمالا یک حمله فیشینگ انجام شده و مهاجم با دسترسی به امضای کاربر، کوینها را بازگردانده است. با این حال، انجام این حمله جز با فریب قربانی در یک سایت فیشینگ امکانپذیر نیست. دوست Roffett.eth نیز میگوید پیش از این اتفاقات با وبسایتهای مشکوک تعاملی نداشته است.
این محقق در ادامه با بررسی کد قرارداد هوشمند توکن NICK متوجه بخشهای عجیبی در آن شده است. به گفته وی، در این کد به جای بخشهای معمولی که در اکثر کوینها وجود دارد، توابع «بسیار عجیب و مبهمی» یافت میشود.
به عنوان مثال، در تصویر زیر دو تابع با نامهای performance و novel وجود دارند که هدف آنها مشخص نیست.
در نهایت، Roffett.eth متوجه شده که در کد قرارداد هوشمند این کوین، کتابخانه مخربی وجود دارد که برای توسعهدهنده امکان فراخوانی کردن تابع permit بدون امضای فرد هولدر توکن را فراهم میکند.
وی در این رابطه میگوید:
اگر آدرس فرد فراخوانیکننده تابع برابر با توسعهدهنده باشد، با ساختن یک امضای خاص به صورت دستی، میتوان مجوز هر هولدری را به دست آورد و توکنهای آنها را انتقال داد.
جالب اینجاست که در این کد، آدرس فرد توسعهدهنده نیز به صورت مبهم و به شکل یک عدد ۲۵۶ بیتی، مثبت و غیرصفر نوشته شده است. درست در زیر این آدرس نیز تابعی بوده که از این شماره عجیب برای استخراج آدرس واقعی استفاده میکند. به گفته این محقق، آدرس واقعی فرد پشت پرده توکن NICK به f261 ختم میشود.
دادههای بلاکچینی نشان میدهد که این تابع، بیش از ۱۰۰ بار فراخوانی شده و بیش از ۱۰۰ تراکنش را انجام داده و توکنهای NICK را از حساب هولدرها به آدرسهای دیگری منتقل کرده است.
Roffett.eth معتقد است کلاهبرداران احتمالا برای مدتی از این تکنیک استفاده خواهند کرد. به گفته وی، کاربران باید فعلا از لیست میم کوینهای ترند GMGN دوری کنند چراکه یک سرمایهگذاری اشتباه میتواند به از دست رفتن کل سرمایه آنها منجر شود:
توسعهدهندگان مخرب ابتدا از چندین آدرس مختلف برای شبیهسازی معاملات و نگهداری توکنها استفاده میکنند و توکنهای خود را به لیستهای پرطرفدار میبرند. این اتفاق سرمایهگذاران خرد را جذب میکند و در نهایت با سرقت توکنها، این کلاهبرداری تکمیل میشود. وجود این لیستهای ترند برای سرمایهگذاران خرد تازهکار بسیار خطرناک است. امیدوارم همه از این موضوع آگاه شوند و دچار این حملات نشوند.
