میهن بلاکچین
  • اخبار
    • همه
    • رمزارز در ایران
    • اخبار بیت کوین
    • اخبار اتریوم
    • اخبار آلتکوین
    • اخبار بلاکچین
    • اخبار عمومی
    • اطلاعیه صرافی‌های داخلی
  • تحلیل
    • همه
    • تحلیل آنچین
    • تحلیل اقتصادی
    • تحلیل تکنیکال
    • تحلیل فاندامنتال
  • آموزش
    • همه
    • کریپتو پدیا
    • کریپتو کده
    • دیفای
    • سرمایه گذاری
    • آموزش همه صرافی های ارز دیجیتال
    • ترید
    • کیف پول
    • بازی
    • استخراج
    • NFT
    • مقالات عمومی
  • ایردراپ
  • هک و کلاهبرداری
  • قیمت ارزهای دیجیتال
  • ماشین حساب ارزهای دیجیتال
  • مقایسه قیمت در صرافی
No Result
مشاهده همه‌ی نتایج
  • اخبار
    • همه
    • رمزارز در ایران
    • اخبار بیت کوین
    • اخبار اتریوم
    • اخبار آلتکوین
    • اخبار بلاکچین
    • اخبار عمومی
    • اطلاعیه صرافی‌های داخلی
  • تحلیل
    • همه
    • تحلیل آنچین
    • تحلیل اقتصادی
    • تحلیل تکنیکال
    • تحلیل فاندامنتال
  • آموزش
    • همه
    • کریپتو پدیا
    • کریپتو کده
    • دیفای
    • سرمایه گذاری
    • آموزش همه صرافی های ارز دیجیتال
    • ترید
    • کیف پول
    • بازی
    • استخراج
    • NFT
    • مقالات عمومی
  • ایردراپ
  • هک و کلاهبرداری
  • قیمت ارزهای دیجیتال
  • ماشین حساب ارزهای دیجیتال
  • مقایسه قیمت در صرافی
No Result
مشاهده همه‌ی نتایج
میهن بلاکچین
No Result
مشاهده همه‌ی نتایج
میهن بلاکچین آموزش کیف پول

آسیب‌پذیری کتابخانه کانتکور لجر (Ledger) کل اکوسیستم دیفای را به خطر انداخت؛ ماجرا چه بود و راهکارهای پیش رو چیست؟

نگارش:‌ماهرخ شیرودیوکوثر ایزک شیریان
25 آذر 1402 - 18:35
در کیف پول, اخبار عمومی
زمان مطالعه: 3 دقیقه
2
کیف پول سخت افزاری لجر نانو اس Ledger Nano S

روز گذشته در ۱۴ دسامبر (۲۴ آذر) یک عامل مخرب از یک آسیب‌پذیری در کتابخانه کانکتور کیف پول سخت‌افزاری لجر (Ledger Connect) سوءاستفاده کرد. این حمله اکسپلویت کل اکوسیستم برنامه‌های غیرمتمرکز (DApp) را در معرض خطر قرار داد. در این مطلب، ضمن اشاره به علت این اتفاق به بررسی راهکارهای پیش رو برای در امان ماندن از خطرات این چنینی خواهیم پرداخت.

از کیف پول‌های سخت‌افزاری همیشه به عنوان یکی از امن‌ترین گزینه‌ها برای نگهداری ارزهای دیجیتال یاد می‌شود اما وقتی حادثه‌ای در مورد این نوع کیف پول‌ها رخ می‌دهد، بسیاری از کاربران نگران می‌شوند که آیا اصلا گزینه امنی وجود دارد یا خیر. به ویژه بسیاری از کاربران ایرانی که از این کیف پول استفاده می‌کنند، احتمالا این سوال برایشان پیش آمده است که در استفاده از لجر به چه نکاتی باید توجه داشته باشند تا از سرقت ارزهای دیجیتال در امان بمانند.

آنچه در این مطلب می‌خوانید

Toggle
  • ماجرا چه بود؟
  • لجر مشکل را حل کرد
  • ۶۱۰ هزار دلار به سرقت رفت
  • کاربران لجر برای در امان ماندن از خطرات از چه راهکارهایی استفاده کنند؟

ماجرا چه بود؟

اوایل روز گذشته، لجر سازنده کیف پول سخت‌افزاری کریپتو تایید کرد که کتابخانه Connector آن پس از اینکه مهاجمان نسخه اصلی را با یک فایل مخرب جایگزین کردند، در معرض خطر قرار گرفته است. پس از این حادثه، چندین برنامه غیرمتمرکز (dApps) با حملات اکسپلویت مواجه شدند و مهاجم موفق شد بیش از ۵۰۰٬۰۰۰ دلار را از چندین کیف پول سرقت کند.

به گفته تیم توسعه‌دهنده پلتفرم Cyvers، این مهاجم ابتدا از یک حمله فیشینگ برای به خطر انداختن رایانه یکی از کارکنان سابق لجر استفاده کرد تا به حساب جاوا اسکریپت Package Manager گره (NPMJS) این کارمند دسترسی پیدا کند. توسعه‌دهندگان از ابزار Package Manager برای پیدا کردن، دانلود، نصب، به‌روزرسانی و حذف خودکار پکیج‌ها استفاده می‌کنند.

سپس هکر یک به‌روزرسانی مخرب را در مخزن گیتهابِ پلتفرم Ledger Connect آپلود کرد. در نتیجه، نسخه تغییر یافته Ledger Connect Kit منتشر شد که حاوی کدهای مخرب بود. این کد در WalletConnect به کار گرفته شد که وجوه را به کیف پولی که توسط هکر کنترل می‌شد هدایت می‌کرد.

در نهایت، برخی از اپلیکیشن‌های وب ۳ به‌روزرسانی شدند و کدهای مخرب را در مرورگرهای کاربران توزیع کردند. اپلیکیشن‌های Zapper، سوشی سواپ (SushiSwap)، فانتوم (Phantom)، بلنسر (Balancer) و Revoke.cash از جمله برنامه‌هایی بودند که به این کد آلوده شدند. برای هر کاربری که گزینه اتصال از طریق WalletConnect نمایش داده می‌شد، موجودی او به حساب هکر منتقل می‌شد.

سایر برنامه‌ها نیز تحت تاثیر این کد مخرب قرار داشتند و کارشناسان هشدار دادند که این آسیب‌پذیری ممکن است روی کل اکوسیستم ماشین مجازی اتریوم (EVM) تاثیر بگذارد. با این حال، این حادثه مستقیما بر کیف پول لجر یا عبارات سید یا لجر لایو (Ledger Live) تاثیر نمی‌گذارد. این خطر تنها زمانی رخ می‌دهد که کاربران کیف پول خود را به dAppها متصل کنند.

تحلیلگران معتقدند مهاجم احتمالا از کدهای مخرب برای نمایش تراکنش‌های گیج‌کننده در کیف پول کاربر استفاده کرده تا کاربر تراکنش‌هایی را که قصد انجام آن‌ها را نداشته، تایید کند. جیمز لوپ (Jameson Lopp)، یکی از فعالان بازار کریپتو اعلام کرده است:

به نظر می‌رسد مشکل امنیتی امروز به خاطر ۳ شکست جداگانه در لجر رخ داد:

۱. بارگذاری کورکورانه کد بدون پین کردن یک نسخه خاص و چک‌‌سام (checksum)
۲. عدم اجرای قانون دو بار بررسی قبل از استقرار کد
۳. عدم لغو دسترسی کارمندان سابق

توییت جیمز لوپ
توییت جیمز لوپ – منبع: پلتفرم اکس

هنگام راه‌اندازی اپلیکیشن‌های مختلف توسعه‌دهنده‌ها کیت اتصالی مثل Ledger Connect را از طریق NPMJS نصب می‌کنند. در نتیجه کیت اتصال در کد اپلیکیشن آن‌ها قرار می‌گیرد و هر زمان که کاربر از سایت بازدید کند، در مرورگر او دانلود می‌شود. کد مخرب مهاجم لجر هم احتمالا باعث شده تراکنش‌های تقلبی در کیف پول کاربر نمایش داده شود.

این کد برای مثال توانسته در کیف پول کاربر یک درخواست تایید رمز را نشان دهد، اما آدرس مهاجم به جای آدرس اصلی درج شده است. یا اینکه ممکن است یک درخواست تایید با کدهای دشوار برای کاربر ظاهر شده باشد و کاربر بدون اینکه بفهمد با چه چیزی موافقت می‌کند، گزینه «تایید» را فشار دهد.

نمونه ای از تایید توکن
نمونه ای از تایید توکن – منبع: MetaMask

لازم به ذکر است کیف پول متامسک نیز تحت تاثیر این حادثه قرار گرفت. متامسک در پلتفرم X یک به روزرسانی را برای رفع این مشکل قرار داد. این شرکت در توییتی هشدار داد:

لطفا قبل از انجام هرگونه تراکنش در MetaMask Portfolio، مطمئن شوید که ویژگی Blockaid را در افزونه متامسک روشن کرده‌اید.

لجر مشکل را حل کرد

لجر با جایگزین کردن کیت مخرب Ledger Connect با یک نسخه معتبر (Ledger Connect Kit 1.1.8)، به سرعت این مشکل را برطرف کرد. این سازنده کیف پول سخت‌افزاری این مشکل را تایید کرد و متعهد شد گزارش جامعی را به زودی منتشر کند.
به گفته این شرکت، در عرض ۴۰ دقیقه پس از آگاه شدن، رفع مشکل انجام شد. فایل مخرب حدود ۵ ساعت فعال بود. با این حال، عملیات تخلیه وجوه تنها در مدت کمتر از دو ساعت انجام شده بود.

۶۱۰ هزار دلار به سرقت رفت

علی‌رغم رفع مشکل و نگرانی‌های متعاقب آن، ZachXBT کاراگاه آنچین گزارش داد که ۶۱۰٬۰۰۰ دلار از کیف‌پول‌های مختلف سرقت شده است.

بر اساس داده‌های DeBank، کیف پول مهاجم نیز در اتراسکن با عنوان «Ledger Exploiter» برچسب‌گذاری شده است که موجودی آن بیش از ۳۳۰٬۰۰۰ دلار است.

پائولو آردوینو، مدیر عامل تتر نیز اعلام کرد این شرکت بلافاصله کیف پول هکر را فریز کرده است. این کیف پول حاوی ۴۴٬۰۰۰ تتر بوده است. فریز به این معنی است که این کیف پول دیگر نمی‌تواند USDT را به آدرس‌های دیگر ارسال کند. با این حال، می‌تواند به انجام معاملات دیگر ادامه دهد.

کاربران لجر برای در امان ماندن از خطرات از چه راهکارهایی استفاده کنند؟

  • قبل از استفاده از هرگونه DApp، وضعیت آسیب‌پذیری Ledger Connect Kit را بررسی کنید. شرکت لجر پچ امنیتی اتصال اضطراری Ledger Connect Kit 1.1.8 را به روزرسانی کرده که به طور خودکار منتشر می‌شود. این شرکت از کاربران خواسته بررسی کنند که آیا از آخرین نسخه استفاده می‌کنند یا خیر. همچنین، توصیه کرده تا ۴۸ ساعت از dappها استفاده نکنید.
  • کش مرورگر را پاک کنید. برای محافظت از خود در برابر هر کد خطرناکی که ممکن است در مرورگر شما ذخیره شده باشد، قبل از اتصال به هر نوع dapp، حافظه پنهان مرورگر خود را پاک کنید.
  • تراکنش‌های خود را با استفاده از امضای شفاف (Clear Sign) تایید کنید تا از هماهنگی بین اطلاعات نمایش داده شده روی صفحه رایانه/ تلفن همراه و اطلاعات موجود در دستگاه لجر اطمینان حاصل شود. لجر هشدار داده است آدرس ها و اطلاعات ارائه شده در صفحه لجر تنها اطلاعات واقعی هستند. اگر بین صفحه نمایش داده شده در دستگاه لجر و صفحه رایانه/تلفن شما تفاوتی وجود دارد، فورا آن تراکنش را متوقف کنید.
  • به عنوان بهترین روش، پس از انجام یک تراکنش خاص، تاییدیه‌های مرتبط با آن dapp را لغو کنید.
  • هنگام تعامل با نسخه‌های آزمایشی یا بتای برنامه‌ها همیشه از کیف پول‌های برنر (Burner Wallet) یا همان کیف پول‌های موقت استفاده کنید.
  • دارایی اصلی خود را در کیف‌ پول‌هایی نگهداری کنید که با قراردادهای هوشمند یا dApp‌ها تعامل ندارند و فقط در مواقعی که نیاز به سواپ، استیکینگ، استفاده از بریج و غیره وجود دارد به کیف‌پول‌های گرم یا کیف پول‌های فعالتان منتقل کنید.
  • تنها مبالغ مورد نیاز را برای جابجایی، سواپ، بریج و استیک استفاده کرده و سپس تاییدیه‌ها را لغو کنید.

با انجام مراحل بالا، احتمال قرار گرفتن کل دارایی شما را در معرض سوء استفاده‌های احتمالی کاهش می‌یابد.

تگ: ارز دیجیتالامنیتکیف پول سخت افزاریهک
اشتراک‌گذاریتوئیت

نوشته‌های مشابه

Exchange_Generic اطلاعیه صرافی
اطلاعیه صرافی

اطلاعیه و اتفاقات مهم صرافی‌های ایرانی ارز دیجیتال؛ ۳۱ اردیبهشت ۱۴۰۴

31 اردیبهشت 1404 - 23:00
29
فیچر هک کلاهبرداری
اخبار عمومی

حمله با «نفس شیطان» و سرقت رمزارزها؛ روایت عجیب یک توریست آمریکایی

31 اردیبهشت 1404 - 21:00
44
فیچر پیتزای بیت کوین
اخبار بیت کوین

پانزدهمین سالگرد «پیتزای بیت کوینی»؛ این‌ بار اما پیتزا با طعم سقف تاریخی!

31 اردیبهشت 1404 - 20:30
39
فیچر لوگوی بیت کوین
اخبار بیت کوین

فوری؛ قیمت بیت کوین رکوردشکنی کرد! قدم بعدی چه خواهد بود؟

31 اردیبهشت 1404 - 19:09
128
فیچر ترامپ و کریپتو
تحلیل فاندامنتال

چگونه شرکای کریپتویی ترامپ، مشتریان سابق خود را بلاتکلیف گذاشتند؟

30 اردیبهشت 1404 - 19:00
43
چارلز هاسکینسون توسعه کاردانو Cardano
اخبار آلتکوین

هاسکینسون به اختلاس ۶۰۰ میلیون دلار ADA متهم شد؛ بنیاد کاردانو شفاف‌سازی می‌کند!

29 اردیبهشت 1404 - 21:00
142
اشتراک
اطلاع از
2 دیدگاه
جدید ترین
قدیمی ترین محبوب ترین
Inline Feedbacks
View all comments

آموزش

چالش‌ بازی های آینده وب ۳
بازی

بازی CapyBomb در تلگرام راه‌اندازی شد؛ بررسی واکنش متناقض کاربران

31 اردیبهشت 1404 - 18:00
52
حمله سایبری به deBridge
صرافی متمرکز

حمله سازمان‌یافته به صرافی‌های بزرگ کریپتو؛ امنیت داخلی بایننس و کراکن مانع نفوذ مجرمین شد

27 اردیبهشت 1404 - 17:00
99
ربات های ترید ارز دیجیتال
ترید

راهنمای جامع ربات‌های ترید ارز دیجیتال؛ مقایسه عملکرد ربات‌های تلگرامی، ربات‌های مبتنی بر وب و ایجنت‌های AI

27 اردیبهشت 1404 - 08:01
259
بیت کوین لیب bitcoinlib
کریپتو پدیا

بیت‌کوین‌لیب (Bitcoinlib) چیست و چگونه مورد حمله هکرها قرار گرفت؟

26 اردیبهشت 1404 - 20:00
78
دپ های بی ان بی اسمارت چین
مقالات عمومی

بهترین پروژه‌های زنجیره‌ هوشمند BNB در سال ۲۰۲۵ که نباید از دست بدهید!

26 اردیبهشت 1404 - 16:00
396
استیکینگ سولانا
آموزش

آموزش استیک سولانا در سال ۲۰۲۵؛ راهنمای گام‌به‌گام استیکینگ SOL در کیف پول فانتوم

27 اردیبهشت 1404 - 08:02
251

پیشنهاد سردبیر

استیکینگ سولانا

آموزش استیک سولانا در سال ۲۰۲۵؛ راهنمای گام‌به‌گام استیکینگ SOL در کیف پول فانتوم

27 اردیبهشت 1404 - 08:02
251

راهنمای جامع ربات‌های ترید ارز دیجیتال؛ مقایسه عملکرد ربات‌های تلگرامی، ربات‌های مبتنی بر وب و ایجنت‌های AI

ترید کریپتو در دوران رکود اقتصادی؛ هنر بقا در روزهای سخت

نرخ بهره فدرال رزرو چیست؟

معرفی بایننس آلفا (Binance Alpha)؛ پلتفرم کشف توکن‌های آینده‌دار پیش از لیست شدن در صرافی

آینده میکروپرداخت‌ها (Micro Payments)؛ بررسی چالش‌های قدیمی و راه‌حل‌ها

  • خانه
  • قیمت ارز
  • صرافی ها
  • ماشین حساب
No Result
مشاهده همه‌ی نتایج
  • اخبار
    • همه
    • رمزارز در ایران
    • اخبار بیت کوین
    • اخبار اتریوم
    • اخبار آلتکوین
    • اخبار بلاکچین
    • اخبار عمومی
    • اطلاعیه صرافی‌های داخلی
  • تحلیل
    • همه
    • تحلیل آنچین
    • تحلیل اقتصادی
    • تحلیل تکنیکال
    • تحلیل فاندامنتال
  • آموزش
    • همه
    • کریپتو پدیا
    • کریپتو کده
    • دیفای
    • سرمایه گذاری
    • آموزش همه صرافی های ارز دیجیتال
    • ترید
    • کیف پول
    • بازی
    • استخراج
    • NFT
    • مقالات عمومی
  • ایردراپ
  • هک و کلاهبرداری
  • قیمت ارزهای دیجیتال
  • ماشین حساب ارزهای دیجیتال
  • مقایسه قیمت در صرافی

© 2025 - تمامی حقوق مادی و معنوی این وبسایت نزد میهن بلاکچین محفوظ است

سرویس‌ها
لیست قیمت ارزهای دیجیتال مقایسه قیمت صرافی‌ها مقایسه ویژگی صرافی‌ها ماشین حساب ارزهای دیجیتال مقایسه رمزارز‌ها
خبر و آموزش
اخبار آموزش ویدیو پیشنهاد سردبیر
میهن بلاکچین
درباره ما ارتباط با ما تبلیغات و همکاری تجاری قوانین و مقررات سیاست های حریم خصوصی فرصت های شغلی
تگ‌های پربازدید
قانون گذاری سرمایه‌ گذاری افراد معروف صرافی ارز دیجیتال دوج‌کوین بیت‌کوین استیبل کوین رمزارز در ایران پیش بینی بازار تکنولوژی بلاک چین اتریوم ‌کاردانو شیبا هک و کلاهبرداری
سرویس‌ها
لیست قیمت ارزهای دیجیتال مقایسه قیمت صرافی‌ها مقایسه ویژگی صرافی‌ها ماشین حساب ارزهای دیجیتال مقایسه رمزارز‌ها
خبر و آموزش
اخبار آموزش ویدیو پیشنهاد سردبیر
میهن بلاکچین
درباره ما ارتباط با ما تبلیغات و همکاری تجاری قوانین و مقررات سیاست های حریم خصوصی فرصت های شغلی
تگ‌های پربازدید
قانون گذاری سرمایه‌ گذاری افراد معروف صرافی ارز دیجیتال دوج‌کوین بیت‌کوین استیبل کوین رمزارز در ایران پیش بینی بازار تکنولوژی بلاک چین اتریوم ‌کاردانو شیبا هک و کلاهبرداری
میهن بلاکچین دست در دست، بی‌نهایت برای میهن

© 2025 - تمامی حقوق مادی و معنوی این وبسایت نزد میهن بلاکچین محفوظ است.