في يناير، خسر أحد مستخدمي العملات المشفرة 12.25 مليون دولار أمريكي نتيجة نسخ عنوان محفظة خاطئ. وفي ديسمبر، خسر مستخدم آخر 50 مليون دولار أمريكي بطريقة مماثلة.
وفقًا لحل الأمان الشهير Web3، Scam Sniffer، فقد كلفت الحادثتان ما مجموعه 62 مليون دولار.
أخطاء العملات المشفرة
شهدت هجمات التصيد الاحتيالي القائمة على التوقيعات ارتفاعًا ملحوظًا في يناير. وكشف برنامج "سكام سنيفر" عن سرقة 6.27 مليون دولار من 4741 ضحية، بزيادة قدرها 207% عن ديسمبر. وشملت أخطر الحالات سرقة 3.02 مليون دولار من عملتي SLVon وXAUt عبر تصريح/زيادة السماح، و1.08 مليون دولار من عملة aEthLBTC عبر تصريح.
محفظتان فقط مسؤولتان عن 65% من جميع خسائر التصيد الاحتيالي.
يُعدّ تسميم العناوين عملية احتيال يقوم فيها المهاجمون بإرسال معاملات صغيرة من عناوين محافظ إلكترونية تُشبه إلى حد كبير العناوين الحقيقية، على أمل أن يقوم المستخدمون بنسخ العنوان الخاطئ من سجل معاملاتهم. قد يؤدي ذلك إلى إرسال الأموال مباشرةً إلى المحتالين عن طريق الخطأ. كما يزيد التصيّد الاحتيالي للتوقيعات من المخاطر، إذ يُخدع المستخدمون للتوقيع على موافقات خبيثة تُخوّل المهاجمين بتحويل الأموال لاحقًا. لذا، تعتمد هذه الأساليب على الهندسة الاجتماعية والخطأ البشري، وقد تجعل حتى أكثر المستخدمين خبرة عرضةً للاختراق.
في نوفمبر الماضي، خسر أحد حاملي العملات المشفرة أكثر من 3 ملايين دولار من رموز PYTH بعد إرساله أموالاً عن طريق الخطأ إلى محفظة محتال. حدث الخطأ عندما نسخ الضحية عنوان إيداع مزيف من سجل معاملاته.
أفاد محللو تقنية البلوك تشين في شركة Lookonchain أن المهاجم أنشأ عنوانًا مُقلّدًا يُطابق الأحرف الأربعة الأولى من عنوان المحفظة الحقيقية، وأرسل معاملة صغيرة بعملة SOL لإضفاء الشرعية على العملية. ثم قام الضحية بتحويل 7 ملايين رمز PYTH دون التحقق الكامل من العنوان، ليقع ضحية لهجوم تسميم العنوان. بلغت قيمة الرموز المُحوّلة آنذاك حوالي 3.08 مليون دولار أمريكي.
محاولة احتيال منسقة متعددة التوقيعات
في ظل تزايد وتيرة هذه الهجمات، أصدرت محفظة Safe غير الاحتجازية، المعروفة سابقًا باسم Gnosis Safe، تحذيرًا لمستخدميها بشأن حملة واسعة النطاق لتسميم العناوين والهندسة الاجتماعية تستهدف محافظ التوقيعات المتعددة. ووفقًا للمنصة، أنشأ المهاجمون آلاف العناوين المشابهة لـ Safe لخداع المستخدمين وحملهم على إرسال الأموال إلى وجهة خاطئة. ولم يكن سبب الهجوم استغلالًا لبروتوكول، أو اختراقًا للبنية التحتية، أو ثغرة في العقود الذكية.
حددت شركة Safe ما يقرب من 5000 عنوان ضار، والتي تم الآن وضع علامة عليها وإزالتها من واجهة Safe Wallet لتقليل مخاطر تحويل الأموال عن طريق الخطأ.
ظهرت المقالة "كيف تسببت أخطاء في المحفظة وهجمات التصيد الاحتيالي في خسارة مستخدمي العملات المشفرة 62 مليون دولار" لأول مرة على موقع CryptoPotato .