سرقت ۸۱۵ هزار دلاری از پل بلاک چینی الفیوم؛ دسترسی هکرها به کلید خصوصی
شرکت امنیتی بلاکاید (Blockaid) در گزارشی اعلام کرد که پل بلاک چینی الفیوم (Alephium TokenBridge)، که شبکههای اتریوم و الفیوم را به یکدیگر متصل میکند، هدف یک حمله سایبری قرار گرفته است.
در این حادثه که در ۹ خرداد رخ داد، هکرها موفق شدند طی تنها ۷ دقیقه، مبلغی معادل ۸۱۵,۰۰۰ دلار را از این پروتکل خارج کنند. این نفوذ امنیتی از طریق دستیابی به کلیدهای خصوصی نگهبانان پل انجام شده است.
جزئیات فنی نفوذ به پل بلاک چینی
سیستم تایید تراکنشهای این پل بر پایه امضای سه نگهبان از مجموع چهار نگهبان (۳ از ۴) بنا شده بود. مهاجمان با به دست آوردن کلیدهای خصوصی سه نگهبان، پیامهای جعلی موسوم به VAA را تولید کردند که به سیستم القا میکرد داراییها به صورت قانونی قفل شدهاند. این اقدام به آنها اجازه داد تا نسخه توکنیزه شده داراییها را بدون پشتوانه واقعی ضرب کرده و از شبکه خارج کنند.
تولید داراییهای بدون پشتوانه و تخلیه استخرها
هکرها با استفاده از امضاهای به دست آمده، ۱۳.۷۶ میلیون واحد توکن wALPH تولید کردند که بیش از کل موجودی در گردش این ارز دیجیتال بود. این داراییهای بدون پشتوانه برای آزادسازی ارزهای ارزشمندی همچون تتر، یواسدی کوین، رپد بیت کوین و اتریوم به کار گرفته شدند. این الگو شباهت زیادی به هک مشهور پل ورمهول (Wormhole) دارد که طی آن داراییهای کلانی بدون وثیقهگذاری خلق شده بود.
این حادثه در حالی رخ میدهد که امنیت پلهای بلاک چینی به یکی از چالشهای اصلی صنعت ارز دیجیتال تبدیل شده است. تنها مدتی پیش از این اتفاق، پل ورس-اتریوم (Verus-Ethereum) نیز با حملهای مشابه مواجه شد که منجر به از دست رفتن ۱۱.۵۸ میلیون دلار سرمایه شد. کارشناسان بلاکاید هشدار میدهند که ضعف در مدیریت کلیدهای خصوصی (Guardian Keys) همچنان بزرگترین نقطه آسیبپذیر در پروتکلهای میانزنجیرهای است.
لطفا در صورت مشاهده دیدگاههای حاوی توهین و فحاشی یا خلاف عرف جامعه با گزارش سریع آنها، به ما در حفظ سلامت بستر ارتباطی کاربران کمک کنید.