۲۸۰ میلیون دلار از طریق مهندسی اجتماعی تخلیه شد

یک حمله پیچیده امور مالی غیر متمرکز با نام اختصاری دیفای را تکان داده است، هک پروتکل Drift نقاط ضعف حیاتی در امنیت عملیاتی و تأییدیه اضافی تراکنش‌ها را آشکار کرده است.

چگونه ۲۸۰ میلیون دلار از پروتکل Drift تخلیه شد

در پروتکل Drift، مهاجمان موفق شدند حدود ۲۸۰ میلیون دلار از یک کیف پول مرتبط تخلیه کنند که تقریباً نیمی از وجوه آن را تحت تأثیر قرار داد. به گفته تیم، این یک عملیات بسیار سازمان‌یافته بود که در طول زمان آشکار شد نه یک سرقت ساده و فرصت‌طلبانه.

علاوه بر این، این بهره‌برداری بر تراکنش‌های nonce بادوام از پیش امضا شده متمرکز بود. این تراکنش‌های ویژه می‌توانند بعداً، خارج از انتظارات زمانی عادی اجرا شوند. مهاجم منتظر ماند و سپس آنها را در یک لحظه استراتژیک ترایگر کرد و یک مکانیسم عملیاتی معمول را به یک بردار حمله قدرتمند تبدیل کرد.

مهندسی اجتماعی و دستکاری چند امضایی

با این حال، هسته اصلی این حادثه در کد نبود. در عوض، مهاجم طبق گزارش‌ها از مهندسی اجتماعی هدفمند برای گمراه کردن چندین امضاکننده کیف پول چند امضایی استفاده کرد. با ایجاد اعتماد و ساخت پیام‌های متقاعدکننده، آنها امضاکنندگان را متقاعد کردند که اقدامات خطرناک را بدون تشخیص ریسک اساسی تأیید کنند.

این فرآیند به مهاجم اجازه داد تا تصاحب امتیاز مدیریتی را بر زیرساخت‌های حیاتی مرتبط با پروتکل تضمین کند. با مجوزهای افزایش‌یافته در دست، آنها می‌توانستند جابجایی وجوه را مجاز کنند و آن تراکنش‌های تأخیری را اجرا کنند که منجر به تخلیه گسترده دارایی‌ها شد.

چرا این یک شکست قرارداد هوشمند نبود

تیم به صراحت توضیح داد که این نقض به دلیل توضیح باگ قرارداد هوشمند یا هر نقص در کد پروتکل نبود. عبارات seed و کلیدهای اصلی کیف پول نیز دست نخورده باقی ماندند. با این حال، ترکیب ابزارهای تراکنش تأخیری و فریب انسانی یک آسیب‌پذیری مؤثر تکه‌تکه شدن معاملات آف چین ایجاد کرد.

در تحلیل پروتکل drift داخلی خود، پروژه تأکید کرد که حسابرسی قرارداد هوشمند به تنهایی نمی‌تواند از این نوع حمله جلوگیری کند. در عوض، رویه‌های قوی‌تر در مورد تأیید امضاکننده، تأییدیه‌های خارج از باند و محدودیت‌های تراکنش هنگام استفاده از کیف پول‌های مدیریتی قدرتمند مورد نیاز است.

درس‌های هک پروتکل drift برای امنیت امور مالی غیر متمرکز با نام اختصاری دیفای

هک پروتکل drift برجسته می‌کند که چگونه عوامل انسانی می‌توانند حتی سیستم‌های به خوبی حسابرسی شده را تضعیف کنند. علاوه بر این، نشان می‌دهد که مکانیسم‌های nonce بادوام و تنظیمات چند امضایی باید با سیاست‌های سختگیرانه، از جمله تأییدیه‌های چند کاناله و بررسی‌های زمینه‌ای قبل از تأییدیه جفت شوند.

برای اکوسیستم غیر متمرکز گسترده‌تر، این حادثه احتمالاً به شیوه‌های به‌روزرسانی امنیتی پروتکل drift آینده و استانداردهای وسیع‌تر امور مالی غیر متمرکز با نام اختصاری دیفای اطلاع خواهد داد. به طور خاص، پروتکل‌ها ممکن است استفاده خود از تراکنش‌های از پیش امضا شده را بازبینی کنند، سیاست‌های چرخش امضاکننده را بازاندیشی کنند و بر آموزش مستمر در برابر تلاش‌های حمله مهندسی اجتماعی چند امضایی اصرار کنند.

در نهایت، این رویداد به عنوان یک مطالعه موردی تفصیلی بهره‌برداری تخلیه وجوه کیف پول ایستاده است. این نیاز به برخورد با امنیت عملیاتی، رفتار امضاکننده و ارتباطات تکه‌تکه شدن معاملات آف چین با همان دقت کد پردازش درون زنجیره را زیر خط می‌کشد، به ویژه در جایی که کیف پول‌های مدیریتی بزرگ دارایی‌های کاربران را کنترل می‌کنند.