حمله فیشینگ و صبر استراتژیک؛ نزدیک به ۱ میلیون دلار دزدیده شد!

یک کاربر حوزه رمزارزها در نتیجه حمله‌ پیچیده و برنامه‌ریزی‌شده فیشینگ، ۹۰۸,۵۵۱ دلار از دارایی خود را از دست داد. مهاجم پس از گذشت ۱۵ ماه از امضای یک تراکنش مخرب توسط قربانی، منتظر ماند تا وجوه قابل توجهی به کیف پول هدف واریز شود و سپس در یک لحظه اقدام به سرقت کرد.

به گزارش میهن بلاکچین، داده‌های آنچین نشان می‌دهند که این حمله به‌واسطه تراکنش تأیید توکن‌های ERC-20 صورت گرفت؛ احتمالاً قربانی این تراکنش، آن را از طریق یک وب‌سایت فیشینگ یا در قالب ایردراپی جعلی امضا کرده بود. این تأیید به آدرس کیف پول مهاجم با شناسه «0x67E5Ae» مجوز دائمی برای دسترسی به دارایی‌های قربانی داده بود.

تراکنشی که راه را برای سرقت باز کرد

مهاجم که به آدرس بدنام «pink-drainer.eth» مرتبط است، نهایتاً در ساعت ۸:۲۷ بامداد روز ۲ آگوست (۱۱ مرداد) به وقت تهران، مبلغ ۹۰۸,۵۵۱ دلار از استیبل کوین USDC را از کیف پول قربانی خارج کرد. این سرقت دقیقاً ۴۵۸ روز پس از امضای تراکنش تأیید مخرب در تاریخ ۳۰ آپریل ۲۰۲۴ (۱۱ اردیبهشت ۱۴۰۳) انجام شد.

پلتفرم اسکم اسنیفر (Scam Sniffer) با انتشار این خبر در شبکه اجتماعی X هشدار داد که کاربران باید به‌صورت منظم «تأییدیه‌های قدیمی را بررسی و لغو کنند»، ممکن است در غیر این صورت دارایی‌هایشان با یک کلیک نابود شود. این پلتفرم همچنین یادآور شد:

امنیت کیف پول شما اهمیت دارد.

صبر استراتژیک مهاجم

تا یک ماه قبل از حمله، کیف پول آلوده قربانی تقریباً هیچ تراکنش معناداری نداشت و موجودی آن بسیار اندک بود. این وضعیت، دلیلی برای اقدام مهاجم باقی نمی‌گذاشت؛ اما در ۲ جولای (۱۱ تیر) همه‌چیز تغییر کرد.

در آن روز، کاربر قربانی مبلغ قابل‌توجه ۷۶۲,۳۹۷ دلار را از کیف پول متامسک (Metamask) خود به آدرس آلوده «0x6c0eB6» منتقل کرد. تنها ده دقیقه بعد، ۱۴۶,۱۵۴ دلار دیگر از استیبل کوین USDC نیز از یک کیف پول متصل به صرافی کراکن (Kraken) به همان آدرس واریز شد.

به‌نظر می‌رسد که مهاجم طی یک ماه پس از این انتقال‌ها، کیف پول را به‌دقت زیر نظر گرفته و منتظر ماند تا وجوه بیشتری وارد آن شود. سرانجام در دوم آگوست، تصمیم به برداشت ناگهانی تمام موجودی گرفت.

این شیوه از ویژگی‌های رایج حملات فیشینگ مبتنی بر تأییدیه‌های مخرب است. در این روش، هکرها اغلب ماه‌ها منتظر می‌مانند و تنها زمانی اقدام می‌کنند که موجودی کیف پول آن‌قدر بالا رفته باشد که ارزش سرقت را داشته باشد.

چگونه می‌توان از حملات فیشینگ جلوگیری کرد؟

ابزارهایی برای کاهش این تهدید وجود دارد. کاربران اتریوم می‌توانند با استفاده از ابزار توکن اپروال چکر (Token Approval Checker) در سایت اتر اسکن (Etherscan)، تأییدیه‌های غیرضروری توکن‌ها را مشاهده و لغو کنند. البته، لغو تأییدیه هر بار نیازمند پرداخت کارمزد گس است.

بر اساس گزارش‌های منتشرشده، تنها در ماه جولای بیش از ۱۴۲ میلیون دلار در صنعت رمزارزها به‌واسطه حداقل ۱۷ حمله مختلف به سرقت رفته است. در این میان، بزرگ‌ترین زیان مربوط به هک صرافی کوین دی‌سی‌ایکس (CoinDCX) بوده است.