سرقة 120 مليون دولار من العملات المشفرة

تم اختراق محافظ العملات المشفرة المتعددة المتصلة بمنصة BadgerDAO المالية اللامركزية. وفقًا لتحليلات البيانات وشركة أمان بيانات blockchain Peckshield ، التي تعمل مع BadgerDAO للتحقيق في السرقة ، بلغت قيمة الرموز المميزة المختلفة المسروقة في الهجوم حوالي 120 مليون دولار.

أثناء التحقيق ، أخبر أعضاء فريق BadgerDAO المستخدمين أنهم يعتقدون أن المشكلة جاءت من شخص أدخل نصًا ضارًا في واجهة المستخدم لموقع الويب الخاص بالمنصة.

لكل مستخدم تفاعل مع الموقع أثناء نشاط البرنامج النصي ، فإنه يعترض معاملات Web3 ويدخل طلبًا لنقل الرموز المميزة للضحية إلى العنوان الذي اختاره المهاجم.

نظرًا لطبيعة المعاملات الشفافة ، فمن الممكن رؤية ما حدث بمجرد ارتكاب المهاجمين للسرقة. و PeckShield حتى قام بسحب 896 عملة بيتكوين في محفظة المهاجم ، بقيمة تزيد عن 50 مليون دولار.

وفقًا للفريق ، ظهر البرنامج الضار مبكرًا في 10 نوفمبر ، حيث قام المهاجمون بتشغيله على فترات عشوائية على ما يبدو لمنع اكتشافه.

تعتمد أنظمة التمويل اللامركزي ، أو DeFi ، على تقنية blockchain للسماح لأصحاب العملات المشفرة بإجراء عمليات تمويل نموذجية مثل كسب الفائدة من خلال القروض.

يعد BadgerDAO المستخدمين بأنه يمكنهم أن يكونوا واثقين من أنك لن تضطر إلى تسليم مفاتيحك الخاصة لعملتك المشفرة. يمكنك الانسحاب في أي وقت. تعمل إستراتيجية النظام الأساسي ليلاً ونهارًا لإدارة أصولك.

يسمح بروتوكولها للأشخاص الذين لديهم Bitcoin بربط عملتهم المشفرة بمنصة Ethereum من خلال رمزها المميز والاستفادة من فرص DeFi التي لن يتمكنوا من الوصول إليها بطريقة أخرى.

بمجرد أن علم BadgerDAO بالتحويلات غير المصرح بها ، أوقفت جميع العقود الذكية. أدى هذا بشكل أساسي إلى تجميد منصتها. يُنصح المستخدمون برفض جميع المعاملات على عناوين المهاجم.

تستمر سرقة العملات المشفرة

استعانت الشركة بخبراء البيانات ، Chainalysis ، لاستكشاف النطاق الكامل للحادث. تم إخطار السلطات في كل من الولايات المتحدة وكندا. تتعاون الشركة بشكل كامل مع التحقيقات الخارجية بالإضافة إلى تقدم تحقيقاتها الخاصة.

وأحد الأشياء التي يحقق فيها BadgerDAO هو كيفية الوصول إلى Cloudflare عبر مفتاح API. والتي يجب أن تكون محمية بمصادقة ثنائية.

على الرغم من أن الهجوم لم يكشف عن عيوب محددة داخل تقنية blockchain نفسها. لقد تمكنت من استغلال تقنية الويب 2.0 القديمة التي يحتاج معظم المستخدمين لاستخدامها لإجراء معاملة.

تحمي أنظمة المصادقة متعددة العوامل الحسابات من مخططات التصيد المختلفة. ومع ذلك ، يحذر الخبراء من أن هجمات التصيد المستهدفة يمكن أن تمنعها. وذلك في ظل وجود أدوات لأتمتة العملية لسنوات.

في عام 2019 ، لاحظ مكتب التحقيقات الفيدرالي تنامي قدرات المجرمين لتجنب المصادقة متعددة العوامل. واقترح تغييرات أو تدريبات تجعل تنفيذ مثل هذه الهجمات أكثر صعوبة.