آگوست ماه بزرگی برای هکها بوده است، زیرا یکی از بزرگترین هکها در تاریخ ارزهای دیجیتال در Poly Network انجام شد و نتایج عجیبی به همراه داشت.
حمله سایبری علیه شبکه پلی با چندین چرخش عجیب و غریب و چرخش های سرخراش تیتر خبرها شده است. ممکن است تصور شود که غارت صرافیهای ارز دیجیتال آسانتر از سرقت از یک بانک است.
به نظر می رسد سرقت ارزهای دیجیتال با ریسک بالا در حال افزایش است. با این حال، ذکر این نکته ضروری است که این فناوریهای غیرمتمرکز از زمان پیدایش هنوز در حال تکامل هستند. مانند هر سیستم دیگری، وقتی آسیبپذیریها کشف میشوند، رفع میشوند.
حماسه شبکه پلی
شبکه پولی بدون شک بزرگترین رسوایی هکرهای این ماه بود.
هکر یک را پیدا کرد آسیب پذیری در قراردادهای دیجیتال. اینها چیزی است که Poly Network برای جابجایی دارایی های رمزنگاری شده بین زنجیره های مختلف استفاده می کند. از این طریق آنها راه خود را پیدا کردند.
آنها سپس اقدام به سرقت رمزنگاری به یاد ماندنی در سه زنجیره کردند. Ethereum، بایننس و شبکه Polygon همه ضربه خوردند. آنها بیش از 600 میلیون دلار از منابع مالی غیرمتمرکز تخلیه کردند.DEFI) سکو.
علاوه بر این، مهاجم در طول این حمله حضور عمومی داشت. حتی تا آنجا پیش رفتند یک پرسش و پاسخ منتشر کنید که مدعی شد حمله "برای سرگرمی"
با این حال، انگیزه واقعی آنها برای سرقت پول مشخص نیست. این بخاطر این است که توجیهات آنها دنبال کردن آنها نسبتاً متناقض و گیج کننده هستند. در پرسش و پاسخ خود، آنها ادعا می کنند که نشانه ها را "برای ایمن نگه داشتن آن" گرفته اند.
آنها ادعا کردند که پول را گرفته اند تا از یافتن آسیب پذیری توسط افراد داخلی در شبکه پلی جلوگیری کنند. با این حال، آنها به جای تعمیر، تصمیم گرفتند به جای آن پول را بگیرند.
به نظر می رسید که آنها مسئولیت خود را در مورد این آسیب پذیری می دانند. آنها سپس توجه خود را روی سرقت از خانه متمرکز کردند DEFI پلتفرم با تلاش برای یافتن بهترین راه برای شستشوی پول بدون توجه.
با این حال، مهاجم زیر نظر جامعه کریپتو تراکنش های پر سر و صدایی انجام داد. این موارد در بلاک چین عمومی مشاهده شد. آنها حتی یک Cryptopunk NFT را برای آن خریداری کردند 42,000 و غیره، رقمی که بیش از 180 میلیون دلار ارزش دارد.
حرکت غیرمعمول هکرها
عجیب این است که آنها در نهایت 550 میلیون دلار از پول دزدیده شده را پس دادند. هکر نیمی دیگر را برای مدتی به جیب زد، علیرغم تلاش برای توضیح اینکه این نفوذ با نیت خیر انجام شده است.
در یک موضوع توییترپلی نتورک گفت: «ما از استخراجکنندگان صرافیهای بلاکچین و رمزارز آسیبدیده میخواهیم توکنهایی را که از آدرسهای بالا میآیند در لیست سیاه قرار دهند... ما اقدامات قانونی را انجام خواهیم داد و از هکرها میخواهیم که داراییها را بازگردانند.»
افسار، که عمل می کند پایدار کوکوین USDT ، در پاسخ به تماس برای لیست سیاه آدرس های استفاده شده توسط مهاجم.
همانطور که این اتفاق می افتاد، یکی از کاربران ارز دیجیتال به نام هاناشیرو یک پیام ارسال کرد تراکنش خالی اتریوم به مهاجم توصیه میکند تا به هکر کمک کند تا در اطراف چشمانداز در حال تغییر مانور دهد، و گفت: «از رمز USDT خود استفاده نکنید، [sic] در لیست سیاه قرار گرفتهاید».
متجاوز نیم ساعت بعد به هاناشیرو پاسخ داد و 13.37 ETH به ارزش حدود 57,000 دلار را به نشانه قدردانی ارسال کرد. هانیشیرو سپس مقداری از وجوه را به سازمان های خیریه فرستاد.
اعضای انجمن از هکرها حمایت می کنند
خبر این پرداخت به سرعت پخش شد. این به یک "هوش طلا" در شبکه اتریوم شعله ور شد.
همدستان بالقوه شروع به ارسال پیام به حساب مورد استفاده مهاجم کردند و به آنها توصیه هایی در مورد نحوه پولشویی برای درخواست کمک های خیریه دادند.
شبکه پلی اظهار داشت: آنها پیگیر اقدامات قانونی علیه ضارب خواهند بود و گفتند که «نیروی انتظامی در هر کشوری این را یک جرم بزرگ اقتصادی تلقی خواهد کرد و شما تحت تعقیب قرار خواهید گرفت».
با تشدید وضعیت به دلیل وجوه برگشتنشده، شبکه پلی پس از آن به مزاحم پیشنهاد کرد 500,000 دلار برای کشف این آسیب پذیری.
هکر آنها را رد کرد. به هر حال، آنها نزدیک به نیم میلیارد دلار دارایی سرقت شده در اختیار داشتند.
در جایی بین درخواست شبکه پولی از هکر برای بازگرداندن پول و در نهایت بازگرداندن پول، پلی نتورک به مهاجم پیشنهاد داد تا به عنوان رئیس جدید خود کار کند. دوربین های مداربسته مشاور که آن هم رد شد.
شبکه پلی در گزارشی نوشت: «پس از برقراری ارتباط با آقای کلاه سفید، ما همچنین به درک کامل تری در مورد چگونگی وقوع این وضعیت و همچنین قصد اصلی آقای کلاه سفید رسیدیم. بیانیه، جایی که با این نام به مزاحم اشاره می کنند.
ردیابی هک ها
با این حال، این پایان داستان نیست. SlowMist، شرکت امنیت اکوسیستم بلاک چین، توانست با موفقیت رشتهای که به هکر منتهی میشود را باز کند.
آنها این کار را با از بین بردن نقاب صندوق پستی، آدرس IP و اثر انگشت دستگاه خود با استفاده از ردیابی روی زنجیره و خارج از زنجیره انجام دادند.
با کمک فنی شریک SlowMist، Hoo Tiger Symbol، همراه با چندین صرافی شرکت کننده، تیم امنیتی SlowMist توانست مطمئن شود که منبع اولیه کریپتو مهاجم بوده است.Monero (XMR).
سپس وجوه را به BNB، ETH و MATIC در صرافی منتقل کردند. به دنبال آن، آنها وجوه را به چندین آدرس برداشت کردند و سپس در سه صرافی هک کردند.
هجوم فعالیت ها در بلاک چین ردیابی آنها را آسان تر کرد. با این حال، آنها به این نتیجه رسیدند که این مهاجم قبل از اجرای هک به طور کامل تحقیق، برنامه ریزی و سازماندهی کرده است.
هک های بیشتر، قربانی متفاوت
رویداد بعدی که در این حماسه آشکار شد از Fetch.ai، یک آزمایشگاه هوش مصنوعی واقع در کمبریج، که خواسته که بایننس برای شناسایی و ردیابی حرکات هکر پس از نفوذ هکر به حسابهای ارزهای دیجیتال آنها در 6 ژوئن کار میکند.
شبکه حساب های مهاجم را محدود کرد. بنابراین مانع از برداشت دارایی آنها می شود. در نتیجه، مهاجم این وجوه را در عرض یک ساعت به شخص ثالث فروخت.
Fetch.ai از Binance درخواست کرد که حسابهای نفوذگر در صرافی را متوقف کند. برای تشدید این موضوع، یک دیوان عالی با درخواست ها موافقت کرد تا این حادثه به طور کامل مورد بررسی قرار گیرد و از طریق مجاری قانونی حل و فصل شود.
گزارش ها حاکی از آن است که بایننس از دستورات دادگاه تبعیت خواهد کرد. با این وجود، تا زمانی که مدرکی ارائه نکنند که نشان دهد قربانی این موضوع شده اند، نمی توانند به دنبال حکم بازیابی باشند.
ما باید این افسانه را که دارایی های رمزنگاری شده ناشناس هستند، از بین ببریم. واقعیت این است که با قوانین و برنامههای مناسب، میتوان آنها را ردیابی، ردیابی و بازیابی کرد.»
بایننس قبلا بود زیر آتش همانطور که موسسات مالی در سراسر جهان مبادلات را به دقت بررسی می کنند. بریتانیا به همراه چندین کشور دیگر در مورد استفاده از این صرافی هشدارهایی صادر کرده است. در همین حال، دیگران به طور کلی ممنوعیت هایی را اجرا کرده اند.
رمزنگاری مایع ژاپنی نقض شد
شبکه پولی تنها حادثه امنیتی در ماه اوت نبود. رمزنگاری مایع عوامل تهدید همچنین به یک صرافی رمزنگاری ژاپنی مستقر در توکیو حمله کردند. آنها 97 میلیون دلار ارزهای دیجیتال متشکل از BTC، ETH، TRX وXRP. هکرها کیف پول های داغ را هدف قرار دادند.
Liquid Crypto پاسخ داد گفته به طور موقت تمام دارایی ها را به صورت آفلاین به کیف پول های ذخیره سازی سرد منتقل می کند. علاوه بر این، آنها تمام خدمات تراکنش را به حالت تعلیق درآوردند.
صرافی گزارش داد که آنها "در حال حاضر در حال ردیابی حرکت دارایی ها و همکاری با سایر صرافی ها برای مسدود کردن و بازیابی وجوه هستند."
طبق یک پست وبلاگ، این شرکت توضیح داده شده که هکر یک محاسبات چند جانبه را هدف قرار داده است کیف پول (MPC). MPCها برای ذخیره و مدیریت ارزهای رمزپایه شرکت تابعه سنگاپور، QUOINE PTE استفاده می شوند. با این حال، Liquid Crypto بیانیه ای در مورد چگونگی نفوذ متجاوزان ارائه نکرد.
ما در حال حاضر در حال بررسی هستیم و بهروزرسانیهای منظم را ارائه خواهیم کرد. صرافی در این بیانیه اعلام کرد: در عین حال، واریز و برداشت متوقف خواهد شد صدای جیر جیر.
علاوه بر این، توییتهای Liquid Crypto آدرسهای ارزهای دیجیتال را نشان میدهند که توسط هکرها برای نفوذ به داراییهای سرقت شده استفاده شدهاند.
پاداش اشکال می تواند راه حل ارائه دهد به هک کردن
در یک پست وبلاگ اخیر، Poly Network اعلام کرد که یک برنامه پاداش 500,000 دلاری باگ راه اندازی خواهد کرد. این از محققان و هکرها برای کشف و گزارش هر گونه آسیب پذیری در نرم افزار خود استقبال می کند.
با توجه به پاداش اشکال فهرست on ایمونفی، حداکثر پرداخت پاداش 100,000 دلار است. با انگیزه های جذاب از همکاری با بازیگران مثبت در زمینه امنیت سایبری، این می تواند به عنوان یک لایه اضافی از حفاظت از دارایی تلقی شود.
نگه داشتن بازیگران بد در مسابقه برای یافتن حفرههای قابل بهرهبرداری، بدون شک کلید اصلی حل مشکلات است. اینکه چه کسی اول آنها را پیدا می کند بحث دیگری است.
برنامه پاداش باگ یک ابتکار جمع سپاری است. این به افرادی که آسیبپذیریهای نرمافزاری را پیدا کرده و گزارش میکنند که میتواند از طریق ممیزی کد و تست نفوذ انجام شود، جبران میکند.
این به شرکتها و اعضای صنعت امنیت سایبری اجازه میدهد تا راهحلهایی را قبل از اینکه عوامل تهدید کشف کنند تا از آنها برای منافع خود استفاده کنند، بیابند.
سلب مسئولیت
تمام اطلاعات موجود در وب سایت ما با حسن نیت و فقط برای اهداف عمومی منتشر می شود. هر اقدامی که خواننده نسبت به اطلاعات موجود در وب سایت ما انجام می دهد ، کاملاً به خطر خود آنها است.
منبع: https://beincrypto.com/bug-bounties-a-possible-solution-to-cryptocurrency-exchange-hacks/