تعلیق درخواست پرداخت در شبکه پای به خاطر کلاهبرداری

تعلیق درخواست پرداخت در شبکه پای به خاطر کلاهبرداری

1 نظرات

8 دقیقه

توقف موقت درخواست‌های پرداخت در شبکه پای به‌دلیل افزایش کلاهبرداری

شبکه Pi به‌طور موقت قابلیت «درخواست پرداخت» در کیف‌پول را غیرفعال کرده است، پس از آن‌که موجی از حملات مهندسی اجتماعی (social engineering) حساب‌هایی را که مقادیر قابل‌توجهی PI در خود داشتند هدف قرار دادند. تیم هسته‌ای Pi این توقف را در تاریخ Dec. 30 از طریق حساب X تأیید کرد و توضیح داد که کلاهبرداران با اسکن دفترکل عمومی (ledger) به دنبال آدرس‌هایی با بالانس بالا می‌گردند و سپس درخواست‌های پرداخت فریبنده‌ای ارسال می‌کنند تا کاربران را به تأیید انتقال‌ها وادار کنند. این اقدام موقتی با هدف کاهش خسارات و بررسی سازوکارهای امنیتی جدید انجام شده است، اما نشان‌دهنده آسیب‌پذیری‌های رفتاری کاربران در مواجهه با پیام‌هایی است که شبیه به ارتباطات معتبر هستند.

خلاصه

  • تیم شبکه Pi درخواست‌های پرداخت را متوقف کرده تا پیش‌گیری از سرقت‌های مکرر توکن انجام شود و زمان لازم برای ارزیابی اقدامات اصلاحی فراهم شود.
  • حملات مبتنی بر مهندسی اجتماعی بوده‌اند و کلاهبرداران با جعل هویت مخاطبان مورد اعتماد و حساب‌های انجمنی کاربران را فریب داده‌اند؛ در نتیجه مشکل از ضعف پروتکل تراکنش‌ها نیست.
  • بازار توکن PI تحت فشار است به‌دلیل نقدینگی پایین و بازشدن دوره‌ای قفل توکن‌ها که عرضه در گردش را افزایش می‌دهد؛ این عوامل همراه با نگرانی‌های امنیتی، نوسان قیمتی را تشدید کرده‌اند.

نحوه عملکرد کلاهبرداری و دلیل تشدید آن

کلاهبرداران از شفافیت دفترکل شبکه Pi سوءاستفاده می‌کنند؛ در این شبکه ماندهٔ کیف‌پول‌ها به‌صورت آن‌چین قابل‌رویت هستند و این امر به افراد بدخواهان اجازه می‌دهد آدرس‌هایی که دارای ذخایر قابل‌توجه PI هستند را شناسایی کنند. پس از پیدا کردن هدف، مهاجم درخواست پرداختی ارسال می‌کند و خود را به‌عنوان یکی از مخاطبان مورد اعتماد، عضوی از خانواده، یا یک حساب رسمی شبیه‌سازی می‌کند. در بسیاری از موارد پیام‌ها طوری طراحی شده‌اند که فوریت یا نیاز احساسی را القا کنند (مانند ادعای پرداخت فوری یا مشکل فنی) و باعث می‌شوند کاربر بدون بررسی‌های لازم درخواست را تایید کند. اگر گیرنده درخواست را بپذیرد، توکن‌ها بلافاصله منتقل می‌شوند و در عمل غیرقابل‌برگشت خواهند بود مگر آن‌که مهاجم همکاری کند یا راهکارهای بازگشتی توسط صرافی‌ها یا نهادهای حقوقی اعمال شود که در اکثریت موارد امکان‌پذیر نیست.

گزارش‌های جامعه کاربری و لاگ‌های نظارتی نشان‌دهنده وقوع چندین حادثهٔ هماهنگ‌شده هستند. در یک مورد مستند، یک آدرس کلاهبردار بیش از 838,000 توکن PI را در طول دسامبر 2025 جمع‌آوری کرده است. براوردها نشان می‌دهد که در طول سال، زیان ناشی از این نوع طرح‌ها ممکن است در میلیون‌ها واحد توکن PI باشد؛ هرچند محدوده دقیق به گزارشات تکمیلی و بررسی‌های بلاک‌چین وابسته است. تیم هسته‌ای Pi بارها تأکید کرده است که این انتقال‌ها به‌دلیل پذیرش درخواست‌ها توسط کاربران اتفاق افتاده‌اند و دلیل وقوع آن‌ها مهندسی اجتماعی است نه ناتوانی در پروتکل تراکنش. با این حال، تکرار این حملات نشان می‌دهد که هم بهبود در تجربهٔ کاربری (UX) برای هشداردهی بهتر به کاربران و هم راه‌حل‌های فنی جدید برای جلوگیری از پذیرش سهوی درخواست‌ها لازم است.

واکنش شبکه و اقدامات موقت

برای مهار خسارات بیشتر، شبکه Pi قابلیت درخواست پرداخت را در سرتاسر شبکه متوقف کرده و در حال بررسی کنترل‌های امنیتی اضافی است که می‌تواند شامل تأیید دو مرحله‌ای برای درخواست‌ها، محدودیت‌های زمانی و تعدادی تأیید مستقل از سوی کاربر باشد. تیم این توقف را موقتی توصیف کرده، اما به همهٔ کاربران توصیه شده است که هرگونه درخواست پرداخت ناخواسته را رد کنند؛ حتی اگر فرستنده به‌نظر معتبر بیاید. ناظران انجمن و کانال‌های رسمی مرتباً این هشدار را تکرار کرده‌اند: بدون تأیید مستقل (تماس یا پیامی از طریق کانال دیگر) درخواست پرداخت را قبول نکنید. اجرای فورا چنین توقفی یک اقدام احتیاطی است که زمان لازم را برای طراحی اصلاحات فنی و آموزشی می‌دهد.

علاوه بر این، برخی پیشنهادها از سوی تحلیلگران و توسعه‌دهندگان جامعه مطرح شده است که می‌تواند به کاهش خطر کمک کند؛ از جمله معرفی مکانیزم‌های امضای چندجانبه (multi-signature)، امکان فهرست سفید آدرس‌های قابل‌قبول، پیام‌های هشداردهندهٔ واضح‌تر در رابط کاربری هنگام دریافت درخواست از آدرس‌های جدید یا ناشناس، و محدودیت‌های مبتنی بر ریسک که درخواست‌های خروج بزرگ را به بررسی دستی ارجاع دهد. ترکیبی از تغییرات UX و اصلاحات لایهٔ عملیاتی می‌تواند احتمال پذیرش سهوی درخواست‌های فریبنده را کاهش دهد.

تأثیر بر بازار و زمینهٔ کلان

باوجود پیشرفت‌های فنی در ماه جاری — از جمله تسریع پردازش KYC پس از ادغام تأییدهای کمکی مبتنی بر هوش مصنوعی و اعلام برندگان هکاتون Open Network — قیمت و نقدینگی توکن PI همچنان شکننده است. این پیشرفت‌های فنی می‌توانند در بلندمدت به رشد کاربردپذیری شبکه کمک کنند، اما در کوتاه‌مدت نگرانی‌های امنیتی و عرضهٔ افزایشی توکن‌ها مانع بازیابی سریع قیمت شده‌اند. سرمایه‌گذاران و کاربرانی که به دنبال ریسک-مدیریت هستند معمولاً به دنبال نشانه‌های قوی از افزایش فعالیت شبکه و جذب کاربران جدید می‌مانند که بتواند فشار فروش را جذب کند.

در زمان گزارش‌نویسی، قیمت PI در حوالی $0.20 معامله می‌شد که افزایش جزئی در طول روز را نشان می‌داد اما تقریباً 10٪ پایین‌تر از قیمت یک ماه قبل بود. این توکن هنوز فاصلهٔ زیادی تا اوج فوریهٔ $2.99 دارد که نشان‌دهندهٔ افت حدود 93٪ از آن نقطهٔ اوج است. همچنین باید توجه داشت که بازار توکن‌های نوظهور مانند PI معمولاً با نقدینگی پایین و دامنهٔ قیمت وسیع‌تری مواجه‌اند؛ بنابراین هر خبر یا رویداد بزرگ می‌تواند نوسانات شدیدی ایجاد کند.

در دسامبر حدود 105 میلیون توکن PI از قفل خارج شد که عرضهٔ در گردش را در بازاری با نقدینگی نسبتاً پایین افزایش داد. حجم معاملات روزانه به‌طور میانگین بین $8 میلیون تا $30 میلیون بوده است؛ این سطوح حجم باعث می‌شود فشار فروش نسبتاً کوچک نیز به‌سرعت روی قیمت تأثیر بگذارد. تحلیلگران بر این باورند که اگر میزان استفادهٔ شبکه (on-chain activity)، پذیرش محصول و اعتماد سرمایه‌گذاران افزایش نیابد، قیمت PI احتمالاً در بازه‌ای حدود $0.15 تا $0.25 نوسان خواهد کرد. در مقابل، هر اقدام مشخص و مؤثر برای افزایش کاربرد شبکه یا کاهش عرضهٔ قابل‌معامله می‌تواند مسیر قیمتی متفاوتی را ایجاد کند.

نکات عملی امنیتی برای کاربران Pi

  • همیشه قبل از تأیید درخواست‌های پرداخت آن‌ها را به‌صورت مستقل بررسی کنید؛ از طریق کانال ارتباطی جداگانه (تماس تلفنی، پیام خصوصی در پلتفرم دیگر یا مراجعهٔ مستقیم به فرد) هویت فرستنده را تأیید کنید.
  • هر پیام دارای فوریت یا پیام‌های احساسی که سعی می‌کنند تصمیم‌گیری سریع را القا کنند را با تردید ببینید؛ کلاهبرداران معمولاً از اضطرار و فشار روانی استفاده می‌کنند.
  • هر ویژگی امنیتی که در کیف‌پول یا حساب کاربری در دسترس است را فعال کنید؛ از راهنمای رسمی Pi Network پیروی کنید و به‌روزرسانی‌های امنیتی را نصب کنید.
  • از اشتراک‌گذاری کلیدهای خصوصی، عبارات بازیابی (seed phrase) و اطلاعات حساس دیگر خودداری کنید و بدون تأیید دقیق درخواست، تراکنشی را امضا نکنید. در صورت دریافت درخواست عجیب از یک آدرس شناخته‌شده، ابتدا آدرس را با لیست مخاطبان یا فهرست سفید تطبیق دهید و در صورت شک مستقیماً با فرستنده تماس بگیرید.

چشم‌انداز

تعلیق موقت قابلیت درخواست پرداخت گامی منطقی برای حفاظت از دارایی‌های کاربران است در حالی که تیم Pi به دنبال اقدامات دائمی است که کاربری و امنیت را در کنار هم داشته باشند. برای سرمایه‌گذاران و مشارکت‌کنندگان شبکه، این حادثه یادآور آن است که شفافیت آن‌چین می‌تواند توسط مهندسان اجتماعی علیه دارندگان توکن به‌کار گرفته شود؛ یعنی اطلاعاتی که در نگاه اول مفید هستند (مانند ماندهٔ کیف‌پول‌ها) می‌توانند به‌عنوان ابزاری برای هدف‌گذاری شوم استفاده شوند. از این رو، هوشیاری مداوم، آموزش کاربران و تقویت فنی جریان‌های درخواست پرداخت اهمیت زیادی دارد تا اعتماد جامعه به شبکه بازگردد.

در کوتاه‌مدت، کاربران باید هر درخواست پرداخت غیرمنتظره را بالقوه مخرب بدانند و تنها به ارتباطات تأییدشده از مخاطبان شناخته‌شده یا کانال‌های رسمی Pi اتکا کنند. انتظار می‌رود به‌روزرسانی‌های بعدی شبکه روشن کنند که آیا این قابلیت با مکانیزم‌های سخت‌گیرانهٔ تأیید، محدودهٔ محدودتری یا تأییدهای اضافه بازمی‌گردد تا از پذیرش خودکار و فریبنده جلوگیری شود. در نهایت، بازیابی اعتماد نیازمند اجرا و نمایش نتایج ملموس از اقدامات امنیتی جدید، شفافیت در گزارش‌گیری دربارهٔ حملات و آموزش پیوستهٔ کاربران خواهد بود.

منبع: crypto

ارسال نظر

نظرات

کوینکس

واقعا؟ این‌قدر ساده میشه با دیدن ماندهٔ کیف هدف گرفت؟ وای… زنگ خطر باید زودتر زده میشد، امیدوارم راهکارای مطمئن بیارن

پاسخ

مطالب مرتبط