پلتفرم اسکم اسنیفر (Scam Sniffer) خبر داد یک معاملهگر دیگر هم قربانی حملات مهندسی اجتماعی (Social Engenieering) شد.
به گزارش میهن بلاکچین، سارقین موفق شدند تا با استفاده از امضای فیشینگ Permit چندین میلیون دلار از توکنهای قربانی را به سرقت ببرند.
۳۵ میلیون دلار با یک «امضای اشتباه» از دست رفت!
اسکم اسنیفر (Scam Sniffer)، پلتفرم امنیت بلاکچین، به تازگی توییتی منتشر کرد و در آن گزارش داد که یک معاملهگر ارزهای دیجیتال قربانی یک حمله فیشینگ شده و حدود ۱۵.۰۷ هزار توکن fwDETH (معادل ۳۵ میلیون دلار) را از دست داده است.
سارقین بلافاصله دست به فروش این ارز دیجیتال زدند که در نهایت منجر به سقوط شدید قیمت دث (dETH) شد. گفته میشود حملاتی مشابه با این مورد در پروتکلهای پک فایننس و اوربیت فایننس نیز رخ داده است که در آن سارقین برای دزدیدن دارایی سرمایهگذاران از تابع اجازه (Permit) سوءاستفاده میکردند.
تابع اجازه با بهروزرسانی EIP 2612 به شبکه اتریوم افزوده شد تا کاربران بتوانند بدون پرداخت هزینه گس (Gas Fee)، چندین تراکنش را روی شبکه ثبت کنند.
با استفاده از این قابلیت، کاربران میتوانند با امضای یک پیام تایید آفچین (خارج از بلاکچین)، تراکنشهای بدون گس انجام دهند. اما تابع اجازه، باعث میشود سرمایهگذاران نسبت به حملات مهندسی اجتماعی آسیبپذیرتر شوند؛ معاملهگری که ۳۵ میلیون دلار از داراییهایش را از دست داد مثالی است از فاجعههایی که ممکن است با سوءاستفاده از این نقظه ضعف به بار آید.
هکرها میتوانند به سادگی کاربران را فریب دهند تا با امضای مجوزی که خیال میکنند مربوط به مراحل ورود به یک وبسایت است، اجازه دسترسی کامل به داراییهایشان را بدهند. برخلاف پیامهای تاییدیه آنچین که به شما هشداری نمایش داده میشود، در پیامهای تاییدیه آفچین خبری از این هشدارها نیست!
فیشینگ؛ رایجترین شیوه سرقت دارایی کاربران
در فضای ارزهای دیجیتال، حملات فیشینگ همچنان یکی از شایعترین حملههای مهندسی اجتماعی به شمار میروند. اسکم اسنیفر به حساب توییتری پروتکل KOR اشاره کرد که اخیرا هک شده بود و توییتهای فیشینگ پست میکرد. آنها اشاره کردند دلیل هک شدن حسابهای محبوب در پلتفرم X، به دلیل موفق واقع شدن حملات مهندسی اجتماعی بوده است.
بر اساس گزارش اسکم اسنیفر، حدود ۱۰ هزار نفر از کاربران ارزهای دیجیتال در ماه سپتامبر قربانی حملات فیشینگ شدند و جمعا ۴۶ میلیون دلار از داراییهای خود را از دست دادند. در کل ۱۲۷ میلیون دلار از دارایی کاربران در نتیجه حملات فیشینگ از دست رفته است و به طور میانگین، ۱۱ هزار نفر هر ماه قربانی این حملات میشدند.
جالب است بدانید که گفته میشود ۸۷ میلیون دلار از این زیانها، تنها مربوط به ۲ کاربر میشود!
نکته جالب اینجاست که یکی از این قربانیان با امضای یک مجوز، ۳۲ میلیون دلار از ارزهای دیجیتال خود را از دست داد، مشابه معاملهگری که ۳۵ میلیون دلار داراییاش از دست رفت!
معاملهگر دیگری نیز به اشتباه از تاریخچه تراکنشهایش (که دستکاری شده بوده) آدرسی اشتباه را کپی کرد و در نتیجه ۱ میلیون دلار از سرمایه خود را از دست داد.
اسکم اسنیفر گزارش کرد بیشتر حملات فیشینگ صورت گرفته، در نتیجه کلیک روی لینکهای فیشینگی است که از طریق حسابهای جعلی در پلتفرم X یا از طریق گوگل ادز (Google Ads) منتشر میشوند.
این پلتفرم امنیت بلاکچین به تازگی به چین لیست (Chainlist) اشاره کرد؛ تبلیغات فیشینگی که از طریق گوگل ادز تبلیغ میشود. کاربران با کلیک روی این تبلیغات به صفحهای هدایت میشوند که آنها را به اتصال کیف پولهایشان ترغیب میکند و پس از امضای تاییدنامه، کیف پول آنها خالی میشود!
