اختر منطقتك 
قام “متسلل Ledger” الذي استولى على ما لا يقل عن 484000 دولار من تطبيقات Web3 المتعددة في 14 ديسمبر، بذلك عن طريق خداع مستخدمي Web3 للحصول على موافقات رمزية ضارة، وفقًا للفريق الذي يقف وراء منصة أمان blockchain Cyvers.
وفقًا للبيانات العامة التي أدلت بها أطراف متعددة معنية، حدث الاختراق في صباح يوم 14 ديسمبر. استخدم المهاجم ثغرة تصيد احتيالي لاختراق جهاز الكمبيوتر الخاص بموظف سابق في Ledger، والوصول إلى حساب جافا سكريبت (NPMJS) الخاص بمدير حزم العقدة الخاص بالموظف. .
لقد حددنا وأزلنا إصدارًا ضارًا من Ledger Connect Kit.
يتم الآن دفع نسخة أصلية لتحل محل الملف الضار. لا تتفاعل مع أي dApps في الوقت الحالي. وسنبقيكم على اطلاع مع تطور الوضع.
جهاز دفتر الأستاذ الخاص بك و…
– ليدجر (@ ليدجر) 14 ديسمبر 2023
بمجرد حصولهم على حق الوصول، قاموا بتحميل تحديث ضار إلى GitHub repo الخاص بـ Ledger Connect. Ledger Connect عبارة عن حزمة شائعة الاستخدام لتطبيقات Web3.
تمت ترقية بعض تطبيقات Web3 إلى الإصدار الجديد، مما أدى إلى قيام تطبيقاتها بتوزيع التعليمات البرمجية الضارة على متصفحات المستخدمين. تم إصابة تطبيقات Web3 Zapper وSushiSwap وPhantom وBalancer وRevoc.cash بالرمز.
ونتيجة لذلك، تمكن المهاجم من سرقة ما لا يقل عن 484000 دولار من مستخدمي هذه التطبيقات. قد تتأثر التطبيقات الأخرى أيضًا، وقد حذر الخبراء من أن الثغرة الأمنية قد تؤثر على النظام البيئي بأكمله لجهاز Ethereum Virtual Machine (EVM).
كيف يمكن أن يحدث ذلك
وفي حديثه إلى كوينتيليغراف، ألقى ديدي لافيد، الرئيس التنفيذي لشركة سايفرز، وكبير مسؤولي التكنولوجيا مئير دوليف، ومحلل بلوكتشين هاكال أونال، مزيدًا من الضوء على كيفية حدوث الهجوم.
ووفقًا لهم، فمن المحتمل أن المهاجم استخدم تعليمات برمجية ضارة لعرض بيانات المعاملات المربكة في محفظة المستخدم، مما دفع المستخدم إلى الموافقة على المعاملات التي لم يكن ينوي القيام بها.
صرح دوليف أنه عندما يقوم المطورون بإنشاء تطبيقات Web3، فإنهم يستخدمون “مجموعات الاتصال” مفتوحة المصدر للسماح لتطبيقاتهم بالاتصال بمحافظ المستخدمين. هذه المجموعات عبارة عن مخزون من التعليمات البرمجية التي يمكن تثبيتها في تطبيقات متعددة، مما يسمح لها بالتعامل مع عملية الاتصال دون الحاجة إلى قضاء الوقت في كتابة التعليمات البرمجية. تعد مجموعة الاتصال الخاصة بـ Ledger أحد الخيارات المتاحة للتعامل مع هذه المهمة.
يبدو أن الحادث الأمني الذي وقع اليوم كان تتويجًا لثلاث إخفاقات منفصلة في ليدجر:
1. تحميل التعليمات البرمجية بشكل أعمى دون تثبيت إصدار محدد ومجموع اختباري.
2. عدم فرض “قواعد الرجلين” حول مراجعة التعليمات البرمجية ونشرها.
3. عدم إلغاء وصول الموظف السابق.— جيمسون لوب (@lopp) 14 ديسمبر 2023
عندما يكتب المطور تطبيقه لأول مرة، فإنه عادةً ما يقوم بتثبيت مجموعة الاتصال من خلال Node Package Manager (NPM). بعد إنشاء إصدار وتحميله على موقعهم، سيحتوي تطبيقهم على مجموعة الاتصال كجزء من التعليمات البرمجية الخاصة به، والتي سيتم بعد ذلك تنزيلها في متصفح المستخدم عندما يزور المستخدم الموقع.
وفقًا لفريق Cyvers، من المحتمل أن تكون التعليمات البرمجية الضارة التي تم إدخالها في Ledger Connect Kit قد سمحت للمهاجم بتغيير المعاملات التي يتم دفعها إلى محفظة المستخدم. على سبيل المثال، كجزء من عملية استخدام التطبيق، غالبًا ما يحتاج المستخدم إلى إصدار موافقات على عقود الرموز المميزة، مما يسمح للتطبيق بإنفاق الرموز المميزة من محفظة المستخدم.
ربما تسببت التعليمات البرمجية الضارة في قيام محفظة المستخدم بعرض طلب تأكيد الموافقة على الرمز المميز ولكن مع إدراج عنوان المهاجم بدلاً من عنوان التطبيق. أو ربما تسبب في ظهور تأكيد للمحفظة يتكون من تعليمات برمجية يصعب تفسيرها، مما دفع المستخدم إلى الضغط بشكل مرتبك على كلمة “تأكيد” دون فهم ما كانوا يوافقون عليه.
تُظهر بيانات Blockchain أن ضحايا الهجوم قدموا موافقات رمزية كبيرة جدًا على العقد الضار. على سبيل المثال، استنزف المهاجم ما يزيد عن 10000 دولار من عنوان Ethereum 0xAE49C1ad3cf1654C1B22a6Ee38dD5Bc4ae08fEF7 في معاملة واحدة. يُظهر سجل هذه المعاملة أن المستخدم وافق على إنفاق مبلغ كبير جدًا من USDC من خلال العقد الضار.
وقال فريق سايفرز إن هذه الموافقة قد تم إجراؤها على الأرجح من قبل المستخدم عن طريق الخطأ بسبب التعليمات البرمجية الضارة. وحذروا من أن تجنب هذا النوع من الهجمات أمر صعب للغاية، لأن المحافظ لا تقدم دائمًا للمستخدمين معلومات واضحة حول ما يوافقون عليه. إحدى ممارسات الأمان التي قد تساعد هي التقييم الدقيق لكل رسالة تأكيد معاملة تنبثق أثناء استخدام التطبيق. ومع ذلك، قد لا يساعد هذا إذا تم عرض المعاملة في رمز لا يمكن قراءته بسهولة أو يكون مربكًا.
متعلق ب: ConsenSys exec على أمان MetaMask Snaps: “الموافقة هي الملك”
ادعى Cyvers أن منصتهم تسمح للشركات بالتحقق من عناوين العقود وتحديد ما إذا كانت هذه العناوين متورطة في حوادث أمنية. على سبيل المثال، اكتشف Cyvers الحساب الذي أنشأ العقود الذكية المستخدمة في هذا الهجوم باعتباره متورطًا في 180 حادثًا أمنيًا.
في حين أن أدوات Web3 في المستقبل يمكن أن تسمح باكتشاف مثل هذه الهجمات وإحباطها مسبقًا، إلا أن الصناعة لا يزال أمامها “طريق طويل لنقطعه” في حل هذه المشكلة، حسبما صرح الفريق لكوينتيليغراف.
