Skip to content
top banner

 هر چیزی که درباره هک لجر می‌دانیم

در
خواندن در ۷ دقیقه

چکیده

نرم‌افزار اختصاصی لجر (Ledger) هک شد و هکر دارایی کاربران را به والت شخصی خود انتقال داد. حمله با ارسال یک کد مخرب شروع شد. تتر در نهایت والت هکر را فریز کرد و این حمله به‌سرعت متوقف شد. شرکت لجر تنها پس از گذشت ۵ ساعت از حمله، هکر را شناسایی کرد. مدیر ارشد فناوری Sushi به عنوان یکی از پروژه‌های دیفایی که هدف این حمله قرار گرفته است اعلام کرد: تا اطلاع ثانوی از هیچ دپی (dApp) استفاده نکنید.

لجر (Ledger) از امن‌ترین کیف پولهای سختافزاری موجود در بازار است و انتشار خبر هک شدن این کیف پول همه را دچار حیرت و البته وحشت‌زده کرد.

به نقل از CoinDesk پنج‌شنبه ۱۴ دسامبر مصادف با ۲۳ آذر تعدادی از اپلیکیشن‌های وابسته به اتریوم از جمله Zapper، SushiSwap، Phantom، Balancer و Revoke.cash به خاطر هک والت‌های لجر در معرض خطر قرار گرفتند. تولیدکننده لجر تا ظهر خطر را به‌کلی از میان برداشته و به کاربران هشدار داد که برای انجام تراکنش‌ها از «امضای پاک» یا Clear Sign استفاده کنند. کاربران با استفاده از این امضا مطمئن می‌شوند که به طور مستقیم با کمپانی سازنده و نرم‌افزار اصلی در ارتباط هستند و عامل مخربی کنترل والت را به دست نگرفته است.

لجر و نقطه آسیب

هک نرم‌افزار کیف پول لجر

به گزارش کوین دسک پروتکل Ledger Connect Kit به عنوان پروتکل اصلی در شبکه دیفای مورد حمله قرار گرفته است. والت‌های لجر نرم‌افزار Connect Kit را در اختیار پروژه‌های دیفایی مانند Lido،  Metamskو Coinbase قرار می‌دهد تا بتوانند محصولات خود را به اپلیکیشن‌های غیرمتمرکز وصل کنند.

زمانی که یک وب‌سایت یا اپلیکیشن هک می‌شود، هکرها کنترل را به دست می‌گیرند و می‌توانند سازوکار برنامه را تغییر دهند و حتی مقصد تراکنش‌ها را تغییر دهند. در این حالت کاربر به جای انتقال پول به والت، دارایی خود را به هکر انتقال می‌دهد.

وخامت حمله در حدی است که مدیر ارشد فناوری Sushi متیو لیلی (Mattew Lilley) در توییتر نوشت: «تا اطلاع بعدی از هیچ دپی استفاده نکنید.» به نظر می‌رسد که وب ۳ نیز به خطر افتاده است و همین مسئله شرایط را برای ورود کدهای مخرب به دپ‌ها هموار کرده است.

جزئیات هک لجر

جزئیات هک لجر

هنوز مشخص نیست که چند اپ غیرمتمرکز (dApp) در این هک مورد حمله قرار گرفتند یا چه مقدار پول به سرقت رفته است. نقل‌قول‌هایی که در شبکه‌های اجتماعی دست‌به‌دست می‌شوند حاکی از وخامت اوضاع و شدت این هک هستند. شرکت بلاک اید (Blockaid) که در زمین امنیت بلاک‌چین فعالیت دارد می‌گوید در نتیجه حمله به Ledger Connect Kit بیش از ۱۵۰ هزار دلار کریپتو ربوده شده است. Ledger Connect Kit در سراسر اکوسیستم دیفای به کار گرفته می‌شود و ازاین‌رو این حمله در سطح گسترده‌ای مخرب بوده است.

در این حمله کاربران با یک پاپ‌آپ (پنجره‌ای که به صورت خودکار روی مانیتور نمایان می‌شود) روبه‌رو شدند. در این پنجره از کاربران خواسته شد به والت خود متصل شوند؛ پس از اتصال توکن‌های کاربران به سرقت رفت. این مشکل در پروژه‌های دیفای متعددی از جمله SushiSwap،  Phantomو Balancer روی داد.

۵ ساعت پس از حمله شرکت لجر عامل هک را شناسایی و در توییتر معرفی کرد. تأیید شد که یکی از کارمندان سابق لجر مرتکب حمله فیشینگ شده است. در این حمله هکر کد مخربی را وارد Ledger Connect Kit کرد. شرکت لجر کد را از نرم‌افزار پاک کرده است و کمپانی تتر نیز والت هکر را فریز و به حالت تعلیق درآورده است.

پرسشنامه آکادمی تبدیل لطفا با شرکت در پرسشنامه زیر، دیدگاه خود درباره آکادمی تبدیل و کیفیت مقاله‌ها را با ما در میان بگذارید.
شرکت در پرسشنامه

هک در دنیای دیجیتال

هک ارز دیجیتال

هکرها بخش جدانشدنی از بازار ارزهای دیجیتال هستند و در فضای غیرمتمرکز دیفای آزادی عمل بیشتری دارند. فضای دیفای مملو از نرم‌افزارهایی است که در زمینه امور مالی فعال هستند. روزبه‌روز بر تعداد این نرم‌افزارها افزوده می‌شود، آن هم بدون نظارت و یک بررسی دقیق؛ از سوی دیگر افرادی که از این نرم‌افزارها استفاده می‌کنند این حوزه را به‌خوبی نمی‌شناسند و فاقد دانش کافی هستند.

چنین حملاتی مانند یک لکه روی صنعت دیفای باقی می‌ماند و نه تنها به کاربران و شرکت‌ها و پروژه‌های دیفای بلکه به اعتبار کریپتو نیز آسیب می‌زند. با وجود تاثیرات مخرب، این حملات فرصتی برای نوآوری بیشتر و ارتقای امنیت شبکه هستند. بلاک چین فناوری ایمن و ارزشمندی برای ذخیره اطلاعات است که به کاربران و هکرها اجازه نمی‌دهد تراکنشی را معکوس کنند و از مقصد نهایی بازگردانند. هکر در این حمله خود را درمقصد نهایی جانمایی کرد و تتر نیز والت هکر را فریز کرد. به این ترتیب ما می‌توانیم هکرها را ردیابی و حتی متوقف کنیم.

درست است که نمی‌توانیم این هک را به فال نیک بگیریم؛ اما این اخبار نیز یکی از جذابیت‌های دنیای ارز دیجیتال هستند. در فضای غیرمتمرکز کریپتو هیچ اخباری از عموم پنهان نمی‌ماند و هر اظهارنظری می‌تواند به حل‌وفصل ماجرا کمک کند. حتی شوخی‌هایی که در این مورد در شبکه‌های اجتماعی به اشتراک گذاشته می‌شوند نیز حاوی اطلاعات ارزشمندی برای اهل‌فن هستند.

منبع:

 Coindesk.com

 

دیدگاه‌ها

جهت دریافت آخرین اخبار و مقالات به خبرنامه بپیوندید.

عکس مجله خبرنامه