سرقت بیش از 200 بیت‌کوین با رخنه به زیرساخت الکتروم

نفوذگران موفق شده‌اند تا با رخنه به زیرساخت الکتروم، بیش از 200 بیت‌کوین (معادل 3.3 میلیارد تومان) را در مدت حدود یک هفته از کاربران سرقت کنند.

الکتروم از جمله کیف‌های پول ارز رمز است که در نقل و انتقالات بیت‌کوین مورد استفاده قرار می‌گیرد.

به گزارش شرکت مهندسی شبکه گستر، در این سرقت، مهاجمان از روشی بسیار هوشمندانه و خلاقانه بهره برده‌اند. بدین‌نحو که با دست‌درازی به شبکه الکتروم موجب نمایش پیامی جعلی بر روی کامپیوتر کاربر شده و با بهره‌گیری از تکینک‌های مهندسی اجتماعی او را متقاعد به دریافت و نصب یک کیف پول مخرب و جعلی که تا همین چندی پیش بر روی GitHub میزبانی می‌شد می‌کرده‌اند.

به نظر می‌رسد که این حمله که از 30 آذر ماه آغاز شده بوده موقتا متوقف شده است.

به‌طور خلاصه اقدامات انجام شده در جریان این حمله را می‌توان در مراحل زیر فهرست کرد:

  • مهاجمان ده‌ها سرور مخرب تحت کنترل خود را به شبکه الکتروم اضافه کرده‌اند. تا کنون 33 مورد از این سرورها شناسایی شده است. برآورد می‌شود که تعداد واقعی سرورهای مخرب عددی بین 40 تا 50 باشد.
  • کاربر از طریق نسخه معتبر کیف پول الکتروم فرایند انتقال بیت‌کوین را آغاز می‌کند.
  • درصورتی که نقل و انتقال به یکی از سرورهای مخرب ارجاع داده شود، سرور، پیامی را به کاربر ارسال می‌کند که در آن این طور وانمود می‌شود که برای ادامه کار باید نسخه به‌روز شده از کیف پول الکتروم از طریق لینک درج شده در پیام که به انباره‌ای بر روی GitHub اشاره می‌کند دریافت شود. حال آن که فایل مورد اشاره در لینک مذکور، کیف پولی مخرب است که توسط مهاجمان مورد دست‌درازی قرار گرفته است.
  • کاربر کیف پول مخرب را دریافت و اجرا می‌کند.
  • کیف پول جعلی از کاربر درخواست اصالت‌سنجی دو عاملی (2FA) می‌کند. موضوعی که می‌تواند برای یک کاربر آگاه هشداری برای ادامه کار ندادن باشد. (اصالت‌سنجی دو عاملی صرفا در زمان انتقال وجه و نه در زمان اجرای کیف پول صورت می‌پذیرد.)
  • مهاجمان با در اختیار داشتن اطلاعات اصالت‌سنجی دو عاملی قربانی، بیت‌کوین‌های او را به نشانی‌های بیت‌کوین تحت کنترل خود منتقل می‌کنند.

یکی از اشکالاتی که مهاجمان را قادر به اجرای چنین حمله‌ای کرده است فراهم بودن امکان نمایش پیام دلخواه از سوی سرورهای الکتروم است. به‌خصوص آن که تا اندکی پیش امکان ارسال متنی‌های موسوم به غنی شده (Rich Text Format) نیز فراهم بود. تصویر زیر نمونه‌ای از این پیام‌ها را با متن غنی شده نمایش می‌دهد.


پس از اطلاع از اجرای این حملات، تیم الکتروم پشتیبانی از قالب غنی شده را متوقف نمود که در نتیجه آن این پیام‌ها به شکل زیر تغییر کرد.

در پی پیگیری‌های انجام شده توسط تیم الکتروم و حذف انباره مخرب میزبانی شده بر روی GitHub که لینک درون پیام جعلی به آن اشاره می‌کند این حملات حداقل برای مدتی متوقف شده است.

اگر چه مدیران الکتروم اقداماتی را در خصوص مقاوم‌سازی زیرساخت این کیف پول بیت‌کوین به‌عمل آورده‌اند اما با توجه به باقی ماندن سرورهای مخرب و عدم رفع آسیب پذیری اصلی، انتظار می‌رود که مهاجمان به زودی اجرای حملات خود را از سربگیرند.

اشتراک گذاری

Facebook
Twitter
WhatsApp
Telegram

نظرات

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *