پروژه دیفای متمرکز بر بیت کوین بجر دائو (Badger DAO) که بر روی بلاکچین اتریوم ساخته شده است، مورد حمله هکری قرار گرفته و ۱۲۰ میلیون دلار از وجوهش به سرقت رفتهاند.
به گزارش گرداب، یک هکر از چند کیف پول ارز دیجیتال که به پلتفرم مالی غیرمتمرکز بجر دائو (Badger DAO) مرتبط بودند، سرقت کرد. طبق تجزیه و تحلیلهای شرکت پک شیلد (Peckshield) که با شرکت بجر همکاری میکند، توکنهایی به ارزش ۱۲۰ میلیون دلار به سرقت رفته است. در حالی که تحقیقات هنوز ادامه دارد، اعضای تیم بجر به کاربران گفتهاند یک نفر اسکریپت مخرب در رابط کاربری وبسایت آنها وارد کرده است.
اگر کاربری در زمان فعال بودن اسکریپت وارد سایت شده باشد، تراکنشهای وب ۳ قطع شده و درخواستی برای انتقال توکنهای قربانی به آدرس موردنظر هکر ارسال میشده است. شرکت پک شیلد میگوید که طی یکی از تراکنشها، ۸۹۶ بیت کوین به ارزش بیش از ۵۰ میلیون دلار به جیب هکر وارد شده است.
طبق گفته اعضای تیم، کد مخرب در اوایل دهم نوامبر ۲۰۲۱ ظاهر شده است، زیرا هکرها برای شناسایی نشدن، آن را هر از گاهی تصادفی اجرا کردهاند.
سیستم مالی غیرمتمرکز یا همان دیفای، بر فناوری بلاکچین وابسته است و به صاحبان داراییهای دیجیتال اجازه انجام عملیات معمولی مانند وامگذاری داراییهای خود برای کسب سود، میدهد.
طبق اعلامیه بجر دائو، تیم آن در تلاش است تا مشکل را رفع کند و کاربران هر زمان که بخواهند میتوانند برداشت کنند. پروتکل آن به افرادی که بیت کوین دارند این امکان را میدهد تا از طریق همان توکن به پلتفرم اتریوم بریج (bridge) کنند و از امکاناتی که دیفای در چنین شرایطی در اختیارشان میگذارد بهره ببرند.
وقتی شرکت بجر متوجه تراکنشهای غیرمجاز شد، تمام قراردادهای هوشمند را متوقف کرد و اساسا دسترسی به پلتفرم خود را مسدود کرد. از کاربران نیز خواست تا با آدرسی که مهاجم داده است تراکنشی انجام ندهند. شب پنجشنبه دوم دسامبر ۲۰۲۱، شرکت بجر اعلام کرد که نتایج تحقیقات متخصصان را دریافت کرده است و بررسی خواهد کرد.
یکی از مواردی که بجر در حال بررسی است این است که چطور مهاجم ظاهراً از طریق یک کلید API به کلودفلر (Cloudflare) دسترسی پیدا کرده است در حالی که کلودفلر با سیستم احراز هویت دو عاملی محافظت میشده است. کلودفر سیستمی برای بهبود سرعت سایت، با کاهش فاصله شما و سرور است.
هر چند این حمله سایبری نشانگر وجود ضعف خاصی در خود فناوری بلاکچین نبوده است، اما مهاجم موفق به بهرهبرداری از فناوری قدیمیتر وب ۲ شده که اکثر کاربران برای انجام تراکنشها باید از آن استفاده کنند.
سیستم احراز هویت چند عاملی از حسابهای کاربری در برابر بسیاری از حملات فیشینگ یا سرقت اطلاعات شخصی محافظت میکند، اما به گفته کارشناسان، بعضی از حملات فیشینگ میتوانند از خط دفاعی این سیستم عبور کنند
افبیآی در اطلاعیه منتشر شده در سال ۲۰۱۹ از قابلیتهای رو به رشد مجرمان برای دور زدن سیستم احراز هویت چند عاملی خبر داد و درخواست کرد تا تغییراتی برای مقابله با این حملات ایجاد شود.
منبع:
The Verge
