AI News CryptoTRADE THE NEWS
A hand resting on a computer mouse in front of a
ارز دیجیتال
Platforms
DeFi
Uniswap

تبلیغات جعلی گوگل با نام Uniswap، ۴۰۰ هزار دلار سرقت کرد

جریان حمله به تأییدیه‌های توکن امضا شده توسط کاربر در یک رابط کاربری کلون شده وابسته بود، نه سرقت عبارت بازیابی یا بدافزار.

نوشته AI News Crypto Editorial Team5 دقیقه مطالعه

یک کمپین جعل هویت Uniswap که از تبلیغات جعلی جستجوی گوگل استفاده می‌کرد، به طور ادعایی حداقل ۴۰۰,۰۰۰ دلار از یک تاجر دزدید، پس از اینکه قربانی به یک رابط کلون شده هدایت شد و مجوزهای توکن را تأیید کرد که برداشت‌ها را امکان‌پذیر می‌کرد. این پرونده "جستجو به کیف پول" را به عنوان یک ریسک درب جلو برجسته می‌کند که کیف پول‌های سخت‌افزاری به طور ذاتی از آن جلوگیری نمی‌کنند زمانی که کاربران درخواست‌های مخرب را امضا می‌کنند.

نکات کلیدی

  • یک Uniswap شبیه‌سازی شده که از طریق تبلیغات جستجوی گوگل ترویج شده بود، به دزدی ادعایی حداقل ۴۰۰,۰۰۰ دلار مرتبط شد پس از اینکه یک قربانی مجوزهایی را تأیید کرد که برداشت‌ها را امکان‌پذیر می‌کرد.
  • پمپاژ توصیف شده به هیچ وجه به عبارات دانه، بدافزار، یا رمزنگاری شکسته نیاز نداشت زیرا قربانی مجوزها و معاملات را امضا کرد.
  • جستجوی ارگانیک همچنین بخشی از سطح تهدید است، با مسمومیت SEO، اشتباهات تایپی، و شخصیت‌های شبیه‌سازی شده که برای پیشبرد صفحات فیشینگ به نتایج برتر استفاده می‌شوند.
  • کیف پول‌های سخت‌افزارینگه‌داریدکلیدهای خصوصیآفلاین، اما معمولاً هنوز هم درخواست‌های تأیید شده توسط کاربر را امضا می‌کنند حتی زمانی که نیت مخرب باشد.

تبلیغ ۴۰۰,۰۰۰ دلاری شبیه‌ساز یونی‌سواپ که منجر به خالی شدن کیف پول شد

یک کمپین جعل هویت Uniswap اخیراً نشان می‌دهد که چقدر "توافق فنی" کمی برای خالی کردن یک کیف پول لازم است زمانی که توزیع، مزیت حمله‌کننده است. در حادثه توصیف‌شده، حمله‌کنندگان به‌طور ادعایی حداقل ۴۰۰,۰۰۰ دلار از یک تاجر دزدیدند پس از اینکه یک جستجوی گوگل برای "Uniswap" لیستی که به نظر می‌رسید یک فهرست رسمی وSponsored در بالای صفحه باشد را نمایش داد.

کلیک بر روی آگهی reportedly قربانی را به یک رابط شبیه به Uniswap کلاهبرداری هدایت کرد. از آنجا، روند به نظر عادی می‌رسید: اتصال کیف پول، آغاز اقدامات روتین و اعطای مجوزهایی که به نظر می‌رسید برای ادامه لازم است. این ضرر تنها بعداً مشخص شد، زمانی که آن مجوزها برای برداشت وجه به طور مستقیم از کیف پول استفاده شدند.

جزئیات کلیدی در بسته تأیید نشده باقی مانده‌اند. هیچ هش تراکنشی، زنجیره، نوع کیف پول،داراییهیچ تجزیه و تحلیلی یا تاریخ دقیقی برای سرقت ادعایی ۴۰۰,۰۰۰ دلاری ارائه نشده است و قربانی تنها به عنوان "یک تاجر" توصیف شده است. این عدم قطعیت برای نسبت دادن و ترسیم مسیر دقیق زنجیره‌ای اهمیت دارد، اما الگوی اصلی را تغییر نمی‌دهد: این یک "سرقت با مجوز" بود، جایی که امضاهای خود قربانی امکان برداشت را فراهم کرد.

چگونه نتایج جستجو به اولین مرحله در فیشینگ DeFi تبدیل شدند

جستجو ترافیک با نیت بالا است. کاربری که عبارت‌های "Uniswap"، "دانلود MetaMask" یا "دانلود Ledger Live" را تایپ می‌کند، در حال حاضر در حالت اجرا قرار دارد که این موضوع جایگاه در بالای صفحه را به طرز غیرمعمولی برای کلاهبرداران با ارزش می‌کند. بسته به وضوح تغییر را بیان می‌کند: "نتایج موتور جستجو به آرامی به یکی از ضعیف‌ترین نقاط ضعف دست کم گرفته شده تبدیل شده‌اند."رمزنگاریامنیت.”

این وکتور همچنین از شناسایی غیررسمی جامعه فرار می‌کند زیرا نتایج جستجو شخصی‌سازی شده‌اند. موقعیت، تاریخچه مرور و نوع دستگاه می‌تواند آنچه را که برای یک پرسش مشابه نمایش داده می‌شود تغییر دهد، بنابراین یک تاجر ممکن است یک قرارگیری مخرب را ببیند که تاجر دیگری نمی‌تواند آن را بازتولید کند.

اثر مرتبه دوم برای بازارها عملیاتی است، نه روایتی. زمانی که فیشینگ از درب جلو گسترش می‌یابد، نرخ پس‌زمینه‌ای از اجبار را افزایش می‌دهد.تسویه حساب‌هاو خروجی‌های کیف پول "مرموز" که می‌تواند به عنوان فشار فروش پر سر و صدا در مکان‌های کم‌حجم آنچین ظاهر شود. حمله‌کننده نیازی به شکست رمزنگاری ندارد. آن‌ها فقط باید در کلیک پیروز شوند.

چرا کیف‌پول‌های سخت‌افزاری از تأییدیه‌های مخرب امضا شده توسط کاربر جلوگیری نمی‌کنند؟

کیف پول‌های سخت‌افزاری در یک کار قوی هستند: نگه‌داری کلیدهای خصوصی به صورت آفلاین. آن‌ها در کار دیگری ضعیف هستند: قضاوت در مورد نیت. همان‌طور که بسته بیان می‌کند، "یک کیف پول سخت‌افزاری نمی‌تواند به طور قابل اعتمادی قضاوت کند که آیا یک تراکنش به نفع کاربر است یا خیر." اگر یک رابط کاربری کپی‌شده تأییدیه‌ای مخرب را ارائه دهد و کاربر آن را تأیید کند، دستگاه معمولاً آنچه را که به آن نشان داده شده امضا کرده و پخش می‌کند.

مکانیسم معمولاًتأیید توکن‌ها, که به آن‌ها اجازه‌ها نیز گفته می‌شود. یک تأیید به یک قرارداد هوشمند اجازه می‌دهد تا توکن‌ها را از یک کیف پول خرج کند. در یک جریان فیشینگ، کاربر باور دارد که در حال تأیید یک قرارداد قانونی برای استفاده روزمره است، اما تأیید می‌تواند به گونه‌ای طراحی شود که به یک قرارداد تحت کنترل مهاجم اجازه دهد تا دارایی‌ها را بعداً منتقل کند. به همین دلیل این کمپین نیازی به عبارات seed، بدافزار یا رمزنگاری شکسته نداشت. امضا، نقطه ضعف بود.

اجتناب از لینک‌هایSponsored دفاعی ناقص است. همان مقاصد فیشینگ می‌توانند از طریق رتبه‌بندی‌های ارگانیک دستکاری شده، از جمله مسموم‌سازی SEO، که بسته آن را به عنوان "دستکاری عمدی رتبه‌بندی‌های جستجوی ارگانیک به گونه‌ای که صفحات مخرب بدون تبلیغ پرداختی در نزدیکی بالای نتایج ظاهر شوند" تعریف می‌کند، قابل دسترسی باشند.

مهاجمان همچنین به typosquatting و URLهای هم‌نوشت تکیه می‌کنند، جایی که تغییرات کوچک در املاء یا کاراکترهای مشابه باعث می‌شود یک دامنه جعلی در یک نگاه سریع تأیید شود. سوال پیشرو این است که آیا موتورهای جستجو اجرای تبلیغات کریپتو و تأیید تبلیغ‌کنندگان را سخت‌تر می‌کنند یا اینکه این بازی همچنان یک بازی whack-a-mole باقی می‌ماند که در آن کمپین‌ها تحت حساب‌ها و دامنه‌های جدید دوباره ظاهر می‌شوند.

سیگنال‌های فوری‌تری از خود اکوسیستم خواهد آمد: گزارش‌های اضافی از برندهای بزرگ DeFi و کیف پول که در جستجو جعل شده‌اند، انتشار شواهد زنجیره‌ای برای پرونده ادعایی ۴۰۰,۰۰۰ دلاری، و گسترش بیشتر شبیه‌سازی یا علامت‌گذاری مجوز در سمت کیف پول که در مورد اجازه‌های غیرمعمول هشدار می‌دهد.

نظارت جامعه بر دامنه‌های typosquat و هم‌نوشت جدید که به تازگی رتبه‌بندی شده‌اند، به همراه پاسخ‌های سریع حذف و لیست سیاه، احتمالاً تعیین خواهد کرد که این وکتور چقدر پرهزینه می‌شود.

نظر مارکوس هیل: تریدرها به یک کتاب راهنمای 'بهداشت ناوبری' نیاز دارند، نه فقط بهداشت کلید

من این را به عنوان یک مشکل توزیع که به عنوان یک مشکل امنیتی جلوه می‌کند، می‌بینم. مزیت حمله‌کننده این است که در لحظه دقیق که کاربر می‌خواهد معامله کند، جلوی او قرار بگیرد و سپس اجازه دهد کاربر خود 'توافق' را با امضای یک تأیید در یک رابط کاربری کلاهبرداری انجام دهد.

آستانه‌ای که اهمیت دارد این است که آیا کیف پول‌ها و پلتفرم‌های جستجو شروع به کاهش فاصله بین نگهداری کلید و قصد معامله می‌کنند یا خیر. اگر شبیه‌سازی و علامت‌گذاری مجوز به حالت پیش‌فرض تبدیل شوند و اگر موتورهای جستجو به طور معناداری تأیید تبلیغ‌کنندگان کریپتو را سخت‌تر کنند، این تنظیمات به نظر ساختاری می‌رسند نه داستان‌محور.

در غیر این صورت، 'جستجو به کیف پول' یک مسیر تخلیه مقیاس‌پذیر باقی می‌ماند زیرا نقطه شکست قبل از اینکه حتی درخواست کیف پول ظاهر شود، اتفاق می‌افتد و اینجاست که پول وجود دارد.

منابع