خسر تاجر عملات رقمية أكثر من 12 مليون دولار من عملة الإيثيريوم ($ETH) بعد إرسال الأموال عن طريق الخطأ إلى عنوان محفظة احتيالي، في ما تشير بيانات البلوكشين إلى أنه كان هجوم تسميم عناوين ناجح.
كيف حدثت الخسارة الضخمة؟
تُظهر سجلات البلوكشين أن عنوان الضحية، والذي يُعرف بـ 0xd674، كان لديه نمط معتاد في تحويل مبالغ كبيرة من الإيثيريوم إلى محفظة إيداع خاصة بـ Galaxy Digital. يبدو أن هذا التكرار استغله المهاجم، حيث قام بإنشاء عنوان ضار مصمم ليشبه إلى حد كبير عنوان الإيداع الشرعي للشركة، وبنفس الأحرف في البداية والنهاية.
خطة الهجوم: معاملات الغبار
يشير سجل المعاملات إلى أن المهاجم أرسل مرارًا وتكرارًا تحويلات صغيرة القيمة إلى محفظة الضحية على مر الزمن. أدت هذه المعاملات التافهة (معاملات الغبار) إلى ظهور العنوان المسموم بجانب العناوين الشرعية في نشاط المحفظة الحديث، مما زاد من احتمالية حدوث لبس أثناء إجراء التحويلات المستقبلية.
قبل اكتشاف الخسارة بحوالي 11 ساعة، بدأ التاجر تحويلًا آخر للإيثيريوم كان يهدف لإرساله إلى Galaxy Digital.
خطأ بشري يكلف الملايين
بدلاً من التحقق من العنوان الوجهة يدويًا، تم نسخ العنوان مباشرة من سجل المعاملات السابقة. ونتيجة لذلك، تم إرسال 4,556 عملة إيثيريوم، بقيمة تقارب 12.4 مليون دولار في وقت المعاملة، إلى المحفظة التي يتحكم فيها المهاجم.
تم تنفيذ التحويل في معاملة خروج واحدة، حيث غادرت الأموال محفظة الضحية على الفور ولم تُسجل أي معاملات تصحيحية لاحقة. تلقى العنوان المسموم الإيثيريوم بنجاح، ولم تظهر أي مؤشرات على جهود استرداد أو استرجاع للأموال، وهو ما يتوافق مع الطبيعة غير القابلة للتغيير لتسويات البلوكشين.
درس أمني مهم لمحبي العملات الرقمية
يُسلط هذا الحادث الضوء على الانتشار المتزايد لهجمات تسميم العناوين، حيث يستغل المجرمون أوجه التشابه البصرية في عناوين المحافظ بدلاً من الثغرات في العقود الذكية أو البروتوكولات. تعتمد هذه الهجمات على خطأ المستخدم وليس على ثغرات تقنية، مما يجعل حتى التجار ذوي الخبرة عرضة للخطر عند التعامل مع التحويلات عالية القيمة.
الأسئلة الشائعة
- ما هي هجمات تسميم العناوين في البلوكشين؟
هي هجمات يخلق فيها المحتالون عنوان محفظة ضارًا يشبه إلى حد كبير عنوانًا شرعيًا، على أمل أن ينسخ الضحية العنوان الخطأ من سجل المعاملات. - كيف يمكنني حماية أصولي الرقمية من مثل هذه الهجمات؟
تحقق دائمًا وبدقة من كل حرف في عنوان المحفظة الوجهة قبل إرسال أي أموال، خاصة في المعاملات الكبيرة. لا تعتمد فقط على نسخ العنوان من السجلات السابقة. - هل يمكن استرجاع الأموال بعد إرسالها إلى عنوان محفظة احتيالي؟
لا، معاملات البلوكشين نهائية ولا يمكن عكسها. بمجرد تأكيد المعاملة، لا توجد طريقة لاسترداد الأموال من قبل المرسل.
