9 دقیقه
خسارت عظیم ۵۰ میلیون دلاری از اسکم سمپاشی آدرس
یک کاربر ارز دیجیتال بهصورت اشتباهی تقریباً ۵۰ میلیون دلار استیبلکوین را به یک آدرس کیفپول «مسموم» منتقل کرد، پس از آنکه یک آدرس جعلی را از تاریخچه تراکنشهای خود کپی کرده بود. این رخداد، که توسط شرکت امنیت بلاکچین Web3 Antivirus گزارش شده است، یکی از بزرگترین خسارات ثبتشده در زنجیره در سال جاری محسوب میشود و نشان میدهد حملات غیرتکنیکی مانند دستکاری آدرس یا آلودگی آدرس (Address Poisoning / سمپاشی آدرس) هنوز هم میتوانند زیانهای بسیار سنگینی برای دارندگان رمزارز ایجاد کنند.
چه اتفاقی افتاد
در این پرونده، قربانی ابتدا یک تراکنش کوچک آزمایشی به گیرنده مورد نظر فرستاد تا از صحت آدرس مطمئن شود. چند دقیقه بعد و بلافاصله پس از برداشت وجوه از صرافی بایننس، کاربر آدرسی را از تاریخچه تراکنشهای خود کپی کرد و برای انتقال دوم پیست نمود — اما این بار 49,999,950 واحد از یک استیبلکوین به آدرسی تقریباً مشابه اما مخرب ارسال شد. Web3 Antivirus توالی رخدادها را مستندسازی کرد و این مورد را بهعنوان یک نمونهٔ کلاسیک از «آلودگی آدرس» توصیف نمود.
جزئیات نشان میدهد که تفاوت بین آدرس اصلی و آدرس مخرب معمولاً تنها چند نویسه است؛ تفاوتهایی که در نگاه سریع یا هنگام استفاده از عمل copy-and-paste بهراحتی نادیده گرفته میشوند. این نوع سوءاستفادهها اغلب هیچ ارتباطی با آسیبپذیریهای قرارداد هوشمند یا پروتکل ندارند و بهجای آن بر ضعفهای رفتاری کاربران و محیطهایی که آدرسها در آن نمایش داده یا ذخیره میشوند تکیه میکنند.
درک مفهوم آلودگی آدرس
آلودگی آدرس یک تکنیک مهندسی اجتماعی است که هدف آن درج آدرسهای شبیه به واقعی در تاریخچه تراکنش، کلیپبورد کاربر یا محیطهای ذخیرهسازی محلی است. از آنجا که آدرسهای ارز دیجیتال معمولاً طولانی و پیچیده هستند، بسیاری از کاربران برای جلوگیری از اشتباه تایپی از روش کپی و چسباندن استفاده میکنند. مهاجمان این رفتار را هدف قرار میدهند و آدرسهایی که تنها در چند کاراکتر با آدرس واقعی تفاوت دارند را وارد میکنند تا وجه را به آدرس مهاجم هدایت کنند.
تیمهای امنیتی بارها تاکید کردهاند که این نوع کلاهبرداریها بیشتر رفتار انسانی را هدف میگیرند تا کد بلاکچین را. آدرسهای مخرب ممکن است در افزونههای مرورگر دستکاریشده، مدیران کلیپبورد آلوده، یا حتی در صفحات تاریخچه برداشت صرافیهای متمرکز نمایش داده شوند اگر دستگاه یا نشست کاربر بهنحوی مورد نفوذ قرار گرفته باشد. علاوه بر این، بدافزارهایی وجود دارند که بهطور خاص برای جایگزینی آدرسهای کپیشده با آدرسهای مخرب طراحی شدهاند و بهصورت شفاف فرایند کپی-پیست را آلوده میکنند.
از دیدگاه فنی، فرایند آلودگی آدرس شامل دو عنصر کلیدی است: تولید یا یافتن آدرسهای «look-alike» (شبیهنما) که از نظر ظاهری بسیار نزدیک به آدرس هدف هستند، و سپس تزریق یا جایگزینی آنها در مکانهایی که کاربر برای انتقال وجه به آنها مراجعه میکند. این مکانها میتواند حافظهٔ موقت سیستم (clipboard)، ذخیره محلی مرورگر (localStorage)، افزونه کیفپول، یا رابط کاربری یک صرافی متمرکز باشد. زمانی که کاربر بدون بررسی دقیق، آدرس را پیست میکند، تراکنش بهسرعت انجام شده و بازیابی وجوه تقریبا ناممکن میشود مگر اینکه مهاجم همکاری کند یا راهکارهای پیگرد قانونی و تکنیکی موفق باشند.
در شرایطی که مهاجم آدرس را در تاریخچهٔ تراکنش کاربر قرار میدهد، تشخیص تفاوت مخصوصاً برای افراد کمتجربه دشوار میشود. آنها اغلب به دنبال الگوهایی میگردند که حروف یا ارقام کمتفاوت، جایگزینیهای یونیکد (homoglyphs) یا جاگذاری کاراکترهای نامحسوس (مثل فاصلههای قابلچاپنشدنی) را بهکار میبرند تا آدرس جعلی را نزدیک به اوریجینال نمایش دهند.
چرا برداشتها از صرافیها مهم هستند
در پروندهٔ گزارششده، وجوه درست پیش از انتقال مسموم از صرافی بایننس برداشت شده بودند. برداشتهای بزرگ و انتقالهای سریع و مکرر ریسک را افزایش میدهند، زیرا کاربران ممکن است برای انجام تراکنشهای تکراری با عجله عمل کنند و بیشتر از رفتار کپیوپیست استفاده کنند؛ این موضوع برای مهاجمان پنجرهٔ زمانی محدودی فراهم میآورد تا از سردرگمی یا فرصتطلبی کاربر بهرهبرداری نمایند.
همچنین، رابطهای کاربری صرافیهای متمرکز که تاریخچه برداشتها را نشان میدهند میتوانند به هدفی برای تزریق آدرس تبدیل شوند، بهویژه اگر نشست کاربر، دستگاه یا افزونهای که با صرافی تعامل دارد به بدافزار آلوده باشد. مهاجم ممکن است آدرسی را در تاریخچهٔ برداشت قرار دهد که با آدرس واقعی گیرنده شباهت زیادی دارد و کاربر بدون توجه کافی آن را انتخاب و پیست کند. چنین حالتی نشان میدهد که حتی کاربران با سطح متوسط دانش فنی نیز در معرض خطر قرار دارند، مخصوصاً وقتی معاملهگری سریع یا برداشتهای ارزشمند در کار است.
افزون بر این، الگوهای رفتاری مانند ارسال تراکنش آزمایشی بلافاصله قبل از ارسال مقدار اصلی میتواند به خودیِ خود یک اقدام محافظتی باشد؛ اما اگر آدرس آزمایشی توسط مهاجم تعویض شود یا آدرس مخرب فقط در مرتبهٔ دوم قرار گیرد، آن اقدام محافظتی نیز ناکافی خواهد بود. بنابراین، زمانبندی تراکنشها و توجه به محیط عملیاتی (مثل استفاده از دستگاههای شخصی امن و نرمافزارهای بهروز) برای کاهش خطر حیاتی است.
پاسخ سیاستی: قانون SAFE Crypto
افزایش پروندههای کلاهبرداری و سرقتهای درونزنجیرهای در سال ۲۰۲۵، قانونگذاران ایالات متحده را به واکنش واداشته است. سناتورها الیسا اسلاتکین و جری موران لایحهٔ دوحزبی SAFE Crypto Act را معرفی کردند — که عنوان کامل آن "Strengthening Agency Frameworks for Enforcement of Cryptocurrency Act" است — و هدف آن تشکیل یک نیروی ویژهٔ فدرال برای بهبود هماهنگی بین نهادهای دولتی، دستگاههای اجرای قانون و متخصصان بخش خصوصی است.
این طرح پیشنهادی قصد دارد روندهای کلاهبرداری در اکوسیستم رمزارزها را تحلیل و رصد کند — از طرحهای پانزی و rug-pullها گرفته تا پولشویی و عملیاتهای پیچیدهٔ «گِرومینگ مالی» — و همکاری گستردهای را بین ارائهدهندگان خدمات دارایی دیجیتال، صادرکنندگان استیبلکوین، امانتداران (custodians)، شرکتهای اطلاعات بلاکچین، گروههای حمایت از مصرفکننده و مدافعان حقوق قربانیان فراهم سازد. هدف اصلی این نیروی کار، تسهیل اشتراکگذاری اطلاعات، هماهنگی پاسخهای قانونی و توسعهٔ بهترین روشها (best practices) برای کاهش ریسکهای systemic و حفاظت از کاربران است.
در سطح سیاستگذاری، نگرانیها فراتر از صرفاً پیگرد فنی است و شامل مسائل نظارتی، استانداردسازی روندهای گزارشدهی و الزام همکاری صرافیها و ارائهدهندگان خدمات مالی با مراجع انتظامی نیز میشود. اجرای چنین چارچوبی میتواند به توسعهٔ ابزارهای بهتر تشخیصی، افزایش شفافیت تراکنشها و تسهیل اقدامات قانونی منجر شود؛ اما موفقیت آن نیازمند اجرای هماهنگ در سطح فدرال و همکاری بینالمللی است، زیرا غالب تراکنشها و مهاجمان مرزهای جغرافیایی را نادیده میگیرند.
پیشنهادات عملی امنیتی
کارشناسان صنعت چندین راهکار عملی را برای کاهش خطر آلودگی آدرس و سایر انواع اسکمها توصیه میکنند. ترکیب این روشها با آموزش کاربر و استفاده از ابزارهای مانیتورینگ میتواند سطح ایمنی را برای دارندگان رمزارز بهطور قابلتوجهی افزایش دهد:
- همیشه قبل از انتقالهای بزرگ، آدرسها را از چند منبع مستقل بررسی کنید. اگر ممکن است، آدرس را بهصورت دستی از منبع اصلی (مثلاً صفحه رسمی یک قرارداد یا رابط کاربری دریافتی) تایپ نکنید اما آن را از منابع معتبر و مطمئن مجدداً اعتبارسنجی کنید.
- یک تراکنش کوچک آزمایشی ارسال کرده و دریافتِ آن را تایید نمایید، سپس بهمدت چند تایید بلوکی (confirmations) منتظر بمانید قبل از اینکه مقدار بزرگتری منتقل کنید. این گام ساده میتواند فرصتی برای شناسایی جایگزینی آدرس فراهم آورد.
- برای نگهداری منابع قابلتوجه از کیفپولهای سختافزاری (hardware wallets) و مکانیسمهای چندامضایی (multi-signature custody) استفاده کنید تا خطر انتقال غیرمجاز کاهش یابد. امانتداران حرفهای و راهکارهای چندامضایی هزینهٔ اشتباهات انسانی را پایین میآورند.
- از مانیتورینگ روی زنجیره (on-chain monitoring) و فهرستهای نظارتی آدرس (address watchlists) بهره ببرید تا آدرسهای مشکوک یا آدرسهای تازه ایجادشدهٔ شبیهنماد (look-alike) را شناسایی کنید. سرویسهای تحلیل بلاکچین میتوانند هشدارهای آنی برای الگوهای انتقال غیرمعمول فراهم کنند.
- مرورگرها، سیستمعاملها و نرمافزارهای کیفپول را بهروز نگه دارید و از چسباندن آدرس از منابع تاییدنیافته نشده اجتناب کنید. همواره افزونههای مرورگر را بررسی کرده و تنها افزونههای ضروری و معتبر را نصب نمایید؛ افزونههای غیرمعروف را حذف کنید یا دسترسی آنها را محدود کنید.
در کنار این توصیهها، آموزش کاربران در مورد تکنیکهای مهندسی اجتماعی، شناسایی نشانههای آدرسهای شبیهسازیشده و آشنایی با مفاهیم پایهٔ امنیت کلید خصوصی و مدیریت کیفپول از اهمیت بالایی برخوردار است. شرکتها و پلتفرمهای خدماتدهندهٔ دارایی دیجیتال باید راهنماها و هشدارهای واضحی برای کاربران منتشر کنند و ابزارهای داخلی برای تشخیص تفاوتهای آدرس (مثل برجستهسازی بخش میانی آدرس یا نمایش checksum) را تقویت نمایند.
با گسترش پذیرش بلاکچین، بهرهبرداریهای غیرتکنیکی مانند آلودگی آدرس احتمالاً تهدیدی دائمی باقی خواهند ماند. ادغام شیوههای کاربری قویتر با هماهنگی قانونی و بهبود ابزارهای صنعتی ضروری است تا خسارات گسترده کاهش یابند و اعتماد دوباره به پرداختهای رمزارزی، استفاده از استیبلکوینها و خدمات مالی مبتنی بر بلاکچین بازسازی شود. ایجاد استانداردهای امنیتی، تسهیل اشتراکگذاری اطلاعات بین بازیگران اکوسیستم و سرمایهگذاری در آموزش کاربران میتواند بهعنوان ستونهای اصلی یک پاسخ جامع شناخته شوند.
منبع: crypto
نظرات
رضا
این داستان عجیبه، ولی واقعا میشه قانونی پیگیری کرد؟ اگه مهاجم خارج کشور یا ناشناس باشه چی؟ کلی سوال بیجواب مونده، قفل و راهکار چی هست؟
کوینکس
وااای ۵۰ میلیون دلار؟! یعنی یه کلیک اشتباه همهچیزو میبره، خیلی ترسناکه. اون پنجره زمانی کوتاه و کپی-پیست واقعا قاتله، باید ابزار بهتر یا آموزش جدی باشه.
ارسال نظر