سرقت ۲۴ میلیون دلار از دو پلتفرم ارز دیجیتال به کمک گیت‌هاب

هکرها موفق شدند به کمک باگی در گیت‌هاب منتشر شده، نزدیک ۲۵ میلیون دلار رمزارز از دو پلتفرم ارز دیجیتال Uniswap و Lendf.me به سرقت ببرند. این حملات در ابتدای هفته جاری رخ داده و گفته می‌شود که توسط یک گروه یا شخص برنامه‌ریزی شده باشد.

بر اساس تحقیقاتی که منتشر شده، به نظر می‌رسد هکرها از چندین باگ و ویژگی‌هایی متداول که در تکنولوژی‌های مختلف بلاکچین قرار دارد استفاده کرده و چندین «حملات بازگشت‌پذیر» پیچیده را ترتیب داده‌اند. حملات بازگشت‌پذیر (Reentrancy attack) به حملاتی گفته می‌شود که هکر پیش از انجام تراکنش اصلی، میزان زیادی پول برداشت می‌کند. به عبارت ساده‌تر یعنی زمانی که تراکنش در حال صحت‌سنجی است، هکر از فاصله بین انجام تراکنش تا تایید آن سوءاستفاده کرده و صدها تراکنش یکسان را انجام می‌دهد.

گفته می‌شود Uniswap بین ۳۰۰ هزار الی ۱.۱ میلیون دلار ارز دیجیتال از دست داده، در حالی که این رقم برای Lendf.me به ۲۴.۵ میلیون دلار می‌رسد. هکرها به کمک حملات بازگشت‌پذیر ارز دیجیتال را از این دو پلتفرم استخراج کرده و به کیف پول خود انتقال دادند. بلافاصله پس از آن نیز ارز دیجیتال دزدیده شده به حساب‌های دیگر منتقل شده است.

بلیط هواپیما

ارز دیجیتال

بر اساس تحقیقاتی که صورت گرفته، مشخص شده است که روش‌های هک هر دو پلتفرم Uniswap و Lendf.me یکسان بوده و شامل روش‌های زیر می‌شود:

  • پروتکل Lendf.me: یک پروتکل سرمایه‌گذاری غیرمتمرکز است که توسط انجمن dFroce توسعه داده شده و  فعالیت‌های واگذاری وام را بر بستر اتریم، مدیریت می‌کند.
  • imBTC: توکنی است که بر بستر اتریم قرار داشته و ارزش آن با بیت کوین از نسبت ۱:۱ پیروی می‌کند.
  • ERC-777: یکی از تکنولوژی‌های زیرساختی بستر اتریم است که قراردادهای هوشمند را پشتیبانی می‌کند (هر دو پلتفرم Uniswap و Lendf.me به عنوان نوعی از قرارداد هوشمند در پلتفرم اتریم به حساب می‌آیند).

یکی از سخنگویان کمپانی «TokenIon» که تکنولوژی imBTC را توسعه داده می‌گوید «استاندارد توکن ERC-777 تا جایی که ما می‌دانیم هیچ گونه آسیب‌پذیری امنیتی ندارد. با این حال ترکیب توکن ERC-777 و قراردادهای هوشمند Uniswap و Lendf.me می‌تواند منجر به آغاز حملات بازگشت‌پذیر شود». این کمپانی معتقد است که هکرها از اکسپلویتی که در تابستان در گیت‌هاب منتشر شده استفاده کرده‌اند.

این اکسپلویت ابتدا توسط کمپانی «OpenZeppelin» منتشر شده که به صورت دوره‌ای امنیت پلتفرم‌های ارز دیجیتال را بررسی می‌کند. هر دو وب سایت اکنون از دسترس خارج شده‌اند تا از حملات بعدی جلوگیری کند. کمپانی TokenIon نیز تمامی تراکنش‌های imBTC خود را متوقف کرده تا هکرها نتوانند از آن برای حمله به دیگر پلتفرم‌ها استفاده کنند.

malltina بلیط هواپیما

مطالب مرتبط

«اینترنت آرشیو» و کلادفلر مشاهده سایت‌ها در زمان قطعی سرور اصلی را ممکن می‌کنند

کلادفلر با همکاری سرویس «وی‌بک ماشین» سایت «اینترنت آرشیو» محتوای سایت‌هایی که از سرویس «همیشه آنلاین» کلادفلر استفاده می‌کنند را آرشیو خواهند کرد و کاربران در هنگام قطعی این سایت‌ها، قادر به مشاهده آن‌ها خواهند بود.این همکاری تعداد صفحات وب که توسط «اینترنت آرشیو» اسکن می‌شوند را افزایش داده و «وی‌بک ماشین» را تبدیل به... ادامه مطلب

هشدار اضطراری وزارت امنیت ملی آمریکا درباره یک باگ بحرانی در ویندوز

واحد مشاوره وزارت امنیت ملی آمریکا پس از کشف یک آسیب‌پذیری امنیتی مهم در نسخه سرور ویندوز، یک هشدار اضطراری برای ادارات دولتی صادر کرد.آژانس امنیت سایبری و زیرساخت یا CISA اخیرا در یک هشدار اضطراری به تمام ادارات و آژانس‌های فدرال اعلام کرده که آسیب‌پذیری «Zerologon» موجود در سرورهای ویندوزی را تا روز دوشنبه برطرف... ادامه مطلب

جدیدترین گزارش Speedtest: سرعت اینترنت در ایران بهبود داشته است

اسپیدتست جدیدترین گزارش خود برای سرعت اینترنت موبایل و ثابت در کشورهای مختلف برای ماه آگوست را منتشر کرده که از افزایش سرعت اینترنت در ایران خبر می‌دهد.اسپیدتست به صورت ماهانه گزارشی برای سرعت اینترنت در جهان منتشر می‌کند که در آن سرعت اینترنت ثابت و موبایل کشورهای مختلف به چشم می‌خورد. در جدیدترین گزارش... ادامه مطلب

حمله باج افزاری به بیمارستانی در آلمان جان یک بیمار را گرفت

یک بیمار زن در طی حمله باج افزاری به بیمارستان دانشگاه «دوسلدورف» آلمان جان خود را از دست داد که احتمالا به اولین قربانی چنین حملاتی به بیمارستان‌ها تبدیل می‌شود.در پی این حمله، بیمارستان نتواست بیماران با وضعیت اضطراری را پذیرش کند و این بیمار راهی بیمارستان دیگری با فاصله ۳۲ کیلومتر شد. طبق گزارش... ادامه مطلب

حمله هکری علیه زنجیره تامین آمریکا توسط یک شرکت آنتی ویروس چینی

وزارت دادگستری آمریکا این هفته اعلام کرد که ۷ تبعه چینی برای مدت بیش از یک دهه بالغ بر ۱۰۰ شرکت های-تک یا حوزه گیمینگ را هدف حملات هکری قرار داده اند. دولت آمریکا ادعا این کند این مردان با کمک ایمیل حملات فیشینگ یکپارچه ای را علیه اهداف خود از جمله «زنجیره تامین» انجام... ادامه مطلب

توییتر امنیت پروفایل سیاستمداران را در آستانه انتخابات آمریکا ارتقا می‌دهد

توییتر از ارتقا امنیت پروفایل نامزدهای انتخاباتی و دیگر اشخاص سیاسی «بلند پایه» در آستانه انتخابات ریاست جمهوری آمریکا خبر داد.توییتر از این پس از کاربرانی که پسورد ضعیفی برای پروفایلشان انتخاب کرده‌اند، می‌خواهد تا گذرواژه قوی‌تری انتخاب کرده و آنها را به فعال کردن احراز هویت دو مرحله‌ای تشویق می‌کند.توییتر همچنین گزینه Password Reset Protect... ادامه مطلب

نظرات ۰

وارد شوید

برای گفتگو با کاربران، وارد حساب کاربری خود شوید.

ورود

رمزتان را گم کرده‌اید؟