هشدار جدی لجر درباره افزایش حملات سایبری زنجیره تأمین نود‌ام‌پیش و سرقت دارایی‌های دیجیتال

یک حمله بزرگ در زنجیره تامین ارزهای دیجیتال، جامعه کریپتو را در سراسر جهان نگران کرده است. چارلز گیولمت، مدیر فناوری شرکت لجر (Ledger)، هشدار داده و بر لزوم احتیاط و استفاده از والت سخت‌افزاری تأکید کرده است.

این حمله، که ابتدا با هک حساب کاربری در سرویس نود پکیج منیجر (NPM) آغاز شد، میلیون‌ها بار دانلود شده و امنیت میلیاردها برنامه غیرمتمرکز و تراکنش‌های کریپتو را تهدید می‌کند. گیولمت اعلام کرد: «حساب کاربری یک توسعه‌دهنده معتبر در NPM به خطر افتاده است. بسته‌های آسیب‌دیده تاکنون بیش از یک میلیارد بار دانلود شده‌اند.»

او توضیح داد که این بدافزار به صورت یک کرکر (clipper) عمل می‌کند و در حین تراکنش‌ها، آدرس‌های والت کاربران را مخفیانه تغییر می‌دهد تا وجوه به کیف‌پول مهاجم منتقل شود. مدیر فناوری لجر از کاربران خواست به ویژه آن‌هایی که از والت سخت‌افزاری استفاده نمی‌کنند، در انجام تراکنش‌ها دقت بیشتری داشته باشند.

گیولمت افزود: «اگر از والت سخت‌افزاری بهره می‌برید، پیش از امضای هر تراکنش، جزئیات آن را به دقت بررسی کنید. در غیر این صورت، فعلاً از انجام تراکنش‌های روی زنجیره (on-chain) خودداری کنید.»

هک نود‌پای: چگونگی رخداد نفوذ

گزارش‌های جدید حاکی از آن است که هجده بسته نود‌ام‌پیش (NPM) محبوب و پرکاربرد در معرض نفوذ قرار گرفته‌اند، از جمله بسته‌های شناخته‌شده‌ای مانند «چاک» (chalk)، «دبگ» (debug) و «استریپ-انسی» (strip-ansi). این حمله، که در تاریخ ۸ سپتامبر رخ داد، یکی از بزرگ‌ترین حملات در تاریخ اخیر حوزه نود‌ام‌پیش محسوب می‌شود و بر کتابخانه‌هایی تأثیر گذاشته است که در مجموع بیش از دو میلیارد بار در هفته دانلود می‌شوند.

پروسه حمله با ایمیل فیشینگ که خود را به عنوان پشتیبانی رسمی نود‌ام‌پیش معرفی می‌کرد، آغاز شد. هدف اصلی، حساب کاربری قیکس (Qix-)، توسعه‌دهنده معتبر، بود که هکرها توانستند کنترل آن را به دست آورند و نسخه‌های مخرب به‌روزرسانی‌هایی را به کتابخانه‌های جاوااسکریپت پرکاربرد وارد کنند.

پس از نصب، payload مخرب به‌طور مخفیانه آدرس‌های کریپتو کپی‌شده کاربران را با نسخه‌های مشابه کنترل‌شده توسط هکر جایگزین می‌کرد. این تکنیک، که بر اساس منطق فاصله لونس‌هلستین (Levenshtein distance) عمل می‌کند، کاربران ناخواسته را فریب می‌دهد تا وجوه خود را به آدرس‌های نادرست ارسال کنند.

یکی از آدرس‌های کیف پول اصلی مرتبط با این حمله توسط محققان شناسایی شده است، هرچند آن‌ها بر وجود چندین کیف پول دیگر که احتمالاً با این حمله مرتبط هستند، نیز تأکید کرده‌اند.

در حالی که چارلز (Charles) اعلام کرد هنوز مشخص نیست که هکر در حال حاضر در حال سرقت سِیدهای کیف‌پول‌های نرم‌افزاری است یا خیر، گزارش‌های اخیر نشان‌دهنده میزان خسارت‌های وارد شده است. محقق رانی حداد (Rani Haddad) کیف‌پول‌های مربوط به هکر را در پلتفرم آرکام (Arkham) تحت عنوان «حمله نود‌ام‌پیش» دسته‌بندی کرده است و بر اساس داده‌ها، تاکنون حدود ۴۹۷ دلار و ۹۶ سنت از این طریق سرقت شده است.

اگرچه تاثیر مستقیم این رویداد بر بازارهای مالی چندان قابل‌توجه نیست، اما با توجه به محبوبیت بسته‌های موردنظر، پتانسیل اثرگذاری آن‌ها در مقیاس بزرگ قابل‌توجه است و می‌تواند پیامدهای گسترده‌تری در بازارهای رمزارز و اقتصاد جهانی داشته باشد.

واکنش جامعه و اقدامات پیشگیرانه

برخی پروژه‌ها و پروتکل‌های مطرح در حوزه رمزارز، از جمله یونی‌سواپ (Uniswap)، سوئیچ (SUI) و جوبیتر (Jupiter)، اعلام کرده‌اند که تحت تأثیر این حملات قرار نگرفته‌اند، اما هشدار داده‌اند که احتیاط لازم است. کیف‌پول‌های رمزارزی مانند لجر (Ledger) و متامسک (MetaMask) نیز با اطمینان از اتخاذ تدابیر امنیتی چندلایه، کاربران را در برابر تهدیدات محافظت می‌کنند.

در کنار این موارد، حمله به زنجیره تأمین NPM در تاریخ ۸ سپتامبر تنها رویداد امنیتی مهم روز نبود. پلتفرم ثروت رمزارزی سوئیس، SwissBorg، اعلام کرد که در اثر نفوذ از طریق API یکی از شرکای تجاری، حدود ۴۱ میلیون دلار ضرر دیده است که بر یک درصد از کاربران تأثیر گذاشته است. همچنین، پروژه لایه دوم اتریوم، Kinto، پس از حمله در ماه جولای که ۵۷۷ اتریوم را تخلیه کرد، اعلام تعطیلی کرد و تیم آن قادر به تأمین منابع مالی نبود.

این موج حملات نشان‌دهنده پیچیدگی فزاینده تهدیدات در فضای رمزارز است. در آینده، کاربران، توسعه‌دهندگان و پلتفرم‌ها باید تمرکز بیشتری بر رعایت استانداردهای امنیتی، بررسی‌های دقیق بسته‌های نرم‌افزاری و بهره‌گیری از شیوه‌های امن داشته باشند.

منبع: کریپتو.نیوز