افراد زیادی که از کیف پول متامسک استفاده کرده و آن را به پروتکلهای مختلف در حوزه دیفای متصل کردهاند، به یکباره تمام دارایی موجود در کیف پول آنها تخلیه شده و به کلی رمز ارزهای خود را از دست دادهاند. احتمالا وجود یک نقص امنیتی در این کیف پول برای کاربران فعال در حوزه دیفای، دردسرساز شده که منجر به از دست رفتن دارایی دیجیتال این افراد شده است.
این مقاله مخصوص افرادی است که فعالیت بسیار زیادی در حوزه دیفای داشته و Defi را به صورت حرفهای دنبال میکنند؛ لذا اگر از کیف پول Metamask برای اتصال به پروژههای دیفای استفاده نمیکنید و یا با پروژههای مشهور حوزه امور مالی غیرمتمرکز مانند آوه، یونی سواپ، وان اینچ، کامپوند، میکر و غیره کار میکنید، خطری شما را تهدید نمیکند و نگرانی به دل خود راه ندهید.
اما اگر کاربر فعال حوزه دیفای هستید و مدام از صرافیهای غیرمتمرکز، پلتفرمهای لندینگ و به طور کلی از پروتکلهایی که به تازگی اپلیکیشن خود را لانچ کرده و یا پروژه مشهوری نیستند استفاده میکنید، حتما این مقاله رو مطالعه کنید.
آیا کیف پول متامسک هک شده است؟
کیف پول متامسک یکی از کیف پولهای مطرح در شبکه اتریوم و به طور کلی در حوزه ارزهای دیجیتال است. Metamask یک کیف پول مبتنی بر مرورگر در شبکه اتریوم بوده که پل ارتباطی میان مرورگرهای اینترنت و اپلیکیشنهای غیرمتمرکزی است که بر روی شبکه اتریوم راهاندازی شدهاند. این کیف پول بستری را ایجاد کرده که از طریق آن میتوان بدون راهاندازی یک نود کامل (Full Node) در شبکه بلاکچین اتریوم، با این شبکه در تعامل بود.
افراد با دانلود Extension متامسک بر روی مرورگر اینترنت خود (مانند گوگل کروم، فایرفاکس، بریو) میتوانند از این کیف پول برای اتصال به پروتکلهای دیفای و انجام تراکنش در آنها استفاده کنند. همانند سایر کیف پولهای نرمافزاری، شما میتوانید در متامسک، کیف پول اتریوم خود را بسازید. در زمان ساخت کیف پول، عبارت بازیابی یا Seed کیف پول شما در اختیار شما قرار میگیرد. این کلمات بازیابی به صورت آفلاین ایجاد میشود و به صورت رمزنگاری شده در سیستم شما (لپ تاپ یا گوشی موبایل) ذخیره میشود. Metamask ادعا میکند که فایل رمزنگاری شده Seed کاربران خود را در سرورهای خود ذخیره نمیکند و این فایل تنها در سیستم کاربر ذخیره میشود.
در زمان ساخت این کیف پول، باید رمز عبوری برای آن انتخاب کنید. این رمز عبور به علاوه فایل رمزنگاری شده Seed دو ورودی تابع رمزگشایی (Decryptor) کیف پول متامسک است؛ یعنی اگر کسی به این دو اطلاعات شما دسترسی داشته باشد، به راحتی میتواند عبارت بازیابی کیف پول شما را به دست آورده و تمام دارایی شما را خارج کند.
فایل رمزنگاری شده Seed کجا ذخیره میشود؟
اگر بر روی لپ تاپ یا کامپیوتر خود کیف پول متامسک را دانلود کردهاید، Seed یا عبارت بازیابی والت شما در همان سیستم ذخیره میشود. این فایل مطابق آدرس زیر در دسترس شما خواهد بود. پیش از این کار باید تیک نمایش فایلهای Hide شده در سیستمتان را فعال کنید.
در بخشی که ما Username نوشتهایم، پوشه نام کامپیوتر شما خواهد بود. در انتها، فایل Text که فرمت اسم آن به صورت 002 ( این عدد ۲ بستگی دارد که در کیف پول متامسک خود، چند اکانت یا کیف پول ساختهاید؛ چون ما دو اکانت در این متامسک داریم، این عدد برای ما ۲ است. ممکن است این عدد برای شما ۱ یا ۳ یا هر عدد دیگری باشد) را باز کنید. این فایل text در نگاه اول بسیار گیج کننده و پر از اعداد و حروف بی معنی است؛ تصویر زیر را ببینید:
عبارت رمزنگاری شده Seed کیف پول شما در این فایل ذخیره شده است. اگر فردی بخواهد عبارت Seed شما را رمزگشایی کند، تنها به دو چیز احتیاج دارد:
۱. همین فایل تکستی که Seed شما به صورت رمزنگاری شده در آن ذخیره شده است.
۲. رمز عبوری که برای کیف پول متامسک خود انتخاب کردهاید.
برای یافتن متن رمزنگاری شده Seed کیف پول متامسک، این کیف پول را باز کنید و با راست کلیک کردن روی صفحه، گزینه Inspect را انتخاب کنید؛ مانند تصویر زیر:
پس از انجام این کار تصویری مشابه عکس زیر را مشاهده میکنید. مطابق تصویر بر روی Console کلیک کنید و عبارت زیر را از اینجا کپی کنید:
var vault = result.data.KeyringController.vault
console.log(vault)
})
عبارت بالا را مطابق تصویر زیر در بخش کنسول پیست کنید:
پس از پیست کردن این عبارت، Enter را بزنید. در گام بعد عبارت رمزنگاری شده Seed خود را مشاهده خواهید کرد. این عبارت رمزنگاری شده با {“data”: آغاز و با “} به پایان میرسد. این عبارت همان Seed کیف پول شماست که بر روی سیستم شما به صورت رمزنگاری شده ذخیره شده است.
عبارت ۱۲ کلمهای که کیف پول متامسک در زمان ایجاد یک کیف پول به شما میدهد، همین متنی است که مشاهده میکنید. ولی Metamask آن ۱۲ کلمه را با استفاده از رمز عبور کیف پول شما رمزنگاری کرده که حاصل آن این عبارت پیش روی شماست. اکنون این عبارت را کپی کنید و وارد سایت https://metamask.github.io/vault-decryptor/ شوید. با چنین صفحهای مواجه خواهید شد:
از آنجا که متامسک یک پروژه Open Source است، تمام کدهای آن به صورت شفاف در گیت هاب آن قرار دارد. الگوریتم رمزنگاری آن نیز مشخص است. در مقابل، الگوریتم رمزگشایی آن نیز شفاف و مشخص در دسترس همه است. سایتی که در بالا اشاره شد، ابزاری است که خروجی الگوریتم رمزنگاری در متامسک را رمزگشایی خواهد کرد. برای رمزگشایی دو فاکتور نیاز است:
- ۱: فایل متنی رمزنگاری شده Seed که در سیستم کاربر ذخیره است. این مورد را با هم در سیستم خود یافتیم
- ۲: رمز عبور کیف پول متامسک
همانطور که در سایت بالا مشاهده میکنید، Metamask Vault Decryptor از شما همین دو مورد را میخواهد. شما میتوانید برای کیف پول خود امتحان کنید. اگر عبارت رمزنگاری شده Seed را در باکس Paste Your Vault Data Here پیست کنید و در باکس Password رمز عبور کیف پول خود را وارد کنید، ۱۲ کلمه Seed خود را مشاهده خواهید کرد.
اکنون اگر فردی به این دو اطلاعات شما دسترسی داشته باشد، به راحتی میتواند Seed شما را استخراج کرده و تمام دارایی شما را از کیف پولتان خارج کند. البته این اتفاق در مورد همه کیف پولهای نرمافزاری مشابه است. به همین دلیل این کیف پولها در مقایسه با کیف پولهای سخت افزاری امنیت پایینتری دارند.
خب تا اینجا متوجه شدیم که کلید خصوصی ما به صورت رمزنگاری شده در سیستم ما ذخیره میشود که اگر کسی به رمز عبور کیف و این دیتا دسترسی پیدا کند، کلید خصوصی ما را متوجه شده و میتواند دارایی ما را از کیف پول خارج کند. در بخش بعدی، تجربه افرادی که همین اتفاق برایشان افتاده را مرور میکنیم.
قربانیان هک در کیف پول Metamask
تقریبا پنج ماه پیش یکی از کاربران کیف پول متامسک در فروم این کیف پول از هک شدن والت خود خبر داد. او در پیام خود نوشت که به هیچ عنوان کلید خصوصی خود را در اختیار کسی قرار نداده، اما تمام دارایی دیجیتالی که در کیف پول متامسک ذخیره کرده را از دست داده است. واکنش اولیه سایر کاربران متامسک این بود که احتمالا کیف پول را از منبع جعلی دانلود کردهاید و یا از Seed خود به دقت مراقبت نکرده و در اختیار فرد دیگری قرار دادهاید.
به تدریج به تعداد افرادی که تمام دارایی آنها در کیف پول Metamask به سرقت رفته بود، افزوده شد. برخی آدرس کیف پول هکر را نیز ارائه دادهاند که با بررسی تراکنشها متوجه میشویم که هکر بلافاصله پس از خارج کردن دارایی این کیف پول، آن را بین چندین کیف پول چرخانده و در نهایت در یونی سواپ آن را مبادله کرده است.
پس از گذشت یک ماه، سرانجام ادمین فروم متامسک پاسخ کاربران را این چنین داد:
ما از شنیدن این اتفاق بسیار متاسفیم. لطفا با استفاده از آدرس اتریوم خود به پشتیبانی متامسک تیکت بزنید تا موضوع را بررسی کنیم.
پس از این واکنش متامسک، کاربران بیشتری به بحث اضافه شدند و تمام آنها از هک شدن کیف پول خود خبر دادند. برخی از کاربران گفتند که پس از اتصال کیف پول متامسک خود به سایت Daopoker کیف پول آنها هک شده و دارایی آنها به سرقت رفته است. ادمین Metamask در پاسخ به این کاربران نوشت:
احتمالا شما در زمان اتصال به این سایت، به او اجازه دسترسی به کیف پول خود را دادهاید و او از این مجوز سواستفاده کرده و تمام دارایی شما را به سرقت برده است.
در نهایت این ادمین با نوشتن پیام زیر تلویحا وجود مشکل امنیتی در کیف پول متامسک را تایید کرد. این پیام ۲۰ روز پیش توسط ادمین متامسک منتشر شده است:
سلام به همه
از شنیدن مشکل پیش آمده برای تعداد زیادی از کاربرانمان مجددا ابراز تاسف میکنم. ما به صورت جدی در حال تلاش برای جلوگیری از وقوع چنین اتفاقاتی هستیم تا با شناسایی آن مشکل را برطرف کنیم.
تمام این مکالمات را از اینجا مشاهده کنید.
تقریبا یک ماه پیش یکی از کاربرانی که مشخصا یک کاربر حرفهای در حوزه دیفای است، از هک شدن کیف پولش خبر داد. او خطاب به متامسک نوشت:
در زمان اتصال API متامسک به پروتکلهای دیفای آسیبپذیری وجود دارد. لطفا این مشکل را برطرف کنید. هیچ هکی اتفاق نیافتاده است. من و کاربران من تنها با استفاده از متامسک به یونی سواپ و دیگر پروتکلهای دیفای متصل شدهایم. نه هکی اتفاق افتاده و نه حمله فیشینگ بوده. این مشکل در API متامسک است.
این مکالمه را از اینجا مشاهده کنید.
پشنهاداتی به کاربران میهن بلاکچین
از آنجایی که هنوز هیچ خبری مبنی بر وجود مشکل امنیتی در کیف پول متامسک منتشر نشده، برای ما نیز وجود چنین مشکلی قطعی نیست؛ اما تعداد افرادی که به همین طریق دارایی خود را از دست دادهاند کم نیست. لذا در استفاده از کیف پول Metamask برای تراکنشها با سرمایه بالا، بسیار محتاطانه عمل کنید. ظاهرا در این کیف پول باگی وجود دارد که افرادی از این باگ مطلع شده و به دنبال سوءاستفاده از آن هستند.
هر چند برخی از قربانیان مدعی شدهاند که آنها تنها از متامسک برای اتصال به Uniswap و دیگر پروتکلهای معروف دیفای استفاده کردهاند، اما به نظر میرسد پروتکلهای مشهور این حوزه کاملا امن بوده و از این باگ (در صورت وجود باگ) استفادهای نکردهاند.
از آنجاکه برای رمزگشایی کردن Seed کاربر به رمز عبور کیف پول نیاز است، حتما در انتخاب رمز عبور دقت کنید. حتما این پسورد را ترکیبی از اعداد، حروف بزرگ و کوچک انگلیسی و علائم خاص مثل @،$ و غیره انتخاب کنید.
تا زمان مشخص شدن موضوع، دارایی زیادی در متامسک نگهداری نکنید. به طور کلی، استفاده از کیف پولهای نرمافزاری ریسک بالاتری در مقایسه با کیف پولهای سخت افزاری دارند. اگر دارایی دیجیتال شما زیاد است، حتما از کیف پولهای سخت افزاری برای نگهداری دارایی خود استفاده کنید.
اگر پروژه دیفای را نمیشناسید، والت خود را به آن متصل نکنید. بسیاری از کاربران زمانی که کیف پول خود را به یک پروتکل شناخته نشده وصل کردهاند، دچار مشکل شدهاند. مطمئنا پروژههای مشهور Defi چنین مشکلی ندارند؛ زیرا در صورتی که آنها هم آسیب پذیر بودند، تاکنون خبر هک شدن کیف پول متامسک تمام سایتهای خبری را پر کرده بود. از این رو به نظر میرسد که پروتکلهای معروف دیفای امن هستند.
