هشدار امنیتی: بدافزار جدید سرقت ارز دیجیتال و راهکارهای امنیتی برای کاربران

بر اساس جدیدترین گزارش‌ها از پلتفرم‌های معتبر امنیت ارز دیجیتال و بررسی‌های انجام‌شده توسط تیم تحقیق و توسعه صرافی والکس، بدافزاری شناسایی شده که می‌تواند بدون جلب توجه، دارایی‌های رمزارزی کاربران را سرقت کند. این بدافزار با دست‌کاری هوشمندانه رابط‌های وب و داده‌های تراکنش، آدرس مقصد را به آدرس مهاجم تغییر می‌دهد یا با سوءاستفاده از مجوزهای توکن (Token Approval) به دارایی‌ها دسترسی نامحدود می‌یابد. دامنه اثر این حملات، چندزنجیره‌ای است و شبکه‌هایی مانند بیت‌ کوین، اتریوم، سولانا، ترون و موارد دیگر را در بر می‌گیرد.

در این مقاله، سازوکار این حمله جدید، چک‌لیست موارد امنیتی پیشگیرانه، علائم هشداردهنده، اقدامات فوری برای قربانیان احتمالی و توصیه‌های فنی برای توسعه‌دهندگان را به‌صورت روشن و مرحله‌به‌مرحله ارائه می‌دهیم.

شیوه‌ های اصلی حمله جدید سراب آدرس

حمله جدید سایبری بازار ارز دیجیتال را می‌توان در دسته حملات سراب آدرس یا Address Mirage Attack دسته‌بندی کرد. بااین‌حال این حمله سازوکار و روش‌های پیچیده‌تری نسبت به انواع مشابه قبلی دارد که به‌منظور درک خطر آن لازم است با آنها آشنا شوید.

جایگزینی آدرس (فریب بصری)

در این الگوی حمله که به آن Address Poisoning یا Clipboard hijacking گفته می‌شود، روی صفحه وب، آدرس درست را می‌بینید، اما بدافزار کاری می‌کند که هنگام کپی آن —چه با Ctrl+C، چه با دکمه Copy—داده‌های دیگری در حافظه موقت (کلیپ‌بورد) شما قرار بگیرد. یعنی آنچه روی صفحه نمایش داده می‌شود با آنچه هنگام چسباندن یا Paste کردن وارد فرم مقصد می‌شود، یکی نیست.

سه سناریوی رایج این حمله به شرح زیر هستند:

• کپی جعلی با دکمه Copy: عملیات کپی به‌گونه‌ای دست‌کاری می‌شود که آدرس مهاجم در کلیپ‌بورد قرار بگیرد.
• تعویض بعد از کپی: شما آدرس درست را انتخاب و کپی می‌کنید، ولی بدافزار در کسری از ثانیه محتوای کلیپ‌بورد را با آدرس خودش عوض می‌کند.
• تعویض هنگام پیست: حتی اگر کلیپ‌بورد سالم باشد، بدافزار، درست قبل از نمایش، متن در حال پیست شدن را با آدرس خودش جایگزین می‌کند.

سرقت مستقیم تراکنش یا MiTB

در این روش که به آن Man-in-the-Browser یا به‌اختصار MiTB گفته می‌شود، تغییرات مورد نظر هکر در لحظه حساس امضا یا پیش از ارسال نهایی اعمال می‌شوند تا کمترین نشانه ظاهری برای کاربر باقی بماند. به‌عبارت دیگر، در لحظه امضا یا پیش از ارسال نهایی، آدرس مقصد در داده‌های تراکنش جایگزین می‌شود. مبلغ و سایر جزئیات نیز عمدا بدون تغییر می‌مانند تا کاربر مشکوک نشود.

سوءاستفاده از Token Approval

بر اساس بررسی‌های انجام‌شده، حمله نرم‌افزاری قابلیت سوءاستفاده از مجوزهای ارائه‌شده یا Token Approval ها توسط کاربر به برنامه‌های دیفای را نیز دارد. در اینجا هدف هکر، اخذ مجوز نامحدود یا Unlimited برای انتقال توکن‌هاست. درنتیجه مهاجم می‌تواند بعدا و بدون دخالت کاربر، اقدام به برداشت از کیف پول او کند.

چک‌ لیست‌ عملی امنیتی برای کاربران ارز دیجیتال

به‌منظور پیش‌گیری و شناسایی حمله سایبری جدید جاری در بازار ارز دیجیتال، رعایت نکات زیر ضروری است.

نکات امنیتی پیش از انجام تراکنش

پیش از فشردن دکمه ارسال یا Send، یک توقف کوتاه و بازبینی دومرحله‌ای می‌تواند از زیان‌های بزرگ جلوگیری کند. موارد زیر را به عادت ثابت خود تبدیل کنید:

• آدرس مقصد را دو بار و از دو مسیر مستقل بررسی کنید (به‌عنوان مثال، هم با تایپ دستی چند رقم آغاز و پایان، هم با مقایسه در یک منبع دیگر).
• برای مبالغ بالا، ابتدا یک تراکنش آزمایشی با مبلغ کم انجام دهید.
• برای آدرس‌های حساس، استفاده از منابع آفلاین یا تایپ دستی کاراکترهای ابتدایی و انتهایی را در نظر بگیرید.

نکات امنیتی مربوط به کیف پول

یک کیف پول ارز دیجیتال امن تنها یک ابزار نیست؛ مجموعه‌ای از پروتکل‌ها و لایه‌های امنیتی برای حفاظت از دارایی‌های شماست. با رعایت نکات زیر، سطح ریسک خود در تراکنش‌های ارز دیجیتال را به‌طور معناداری کاهش می‌دهید:

• فقط از کیف پول‌های معتبر استفاده کرده و همیشه آنها را به‌روزرسانی کنید.
• عبارت بازیابی (Seed Phrase) را هرگز به‌صورت آنلاین وارد نکنید و آن را روی دستگاه‌های متصل به اینترنت نگه ندارید.
• برای مبالغ قابل توجه از کیف پول سخت‌افزاری معتبر استفاده کنید.

نکات امنیتی مربوط به مرورگر

ازآن‌جاکه بسیاری از حملات سایبری در حوزه ارز دیجیتال از بستر مرورگرها و افزونه‌ها استفاده می‌کنند، رعایت نکات زیر هنگام کار با آنها ضروری است:

• مرورگر را مرتب به‌روزرسانی کنید.
• افزونه‌های ناشناس یا کم‌اعتبار را حذف کنید و تنها افزونه‌های ضروری را نگه دارید.
• روی لینک‌های مشکوک کلیک نکنید و نشانی وب‌سایت‌ها را با دقت بررسی کنید.
• در استفاده از برنامه‌های دیفای، فقط به وب‌سایت‌های رسمی مراجعه کنید.

نکات امنیتی کار با DeFi و قراردادهای هوشمند

تعامل با قراردادهای هوشمند مستلزم دقت مضاعف در URL و مجوزهاست. راهکارهای زیر ریسک شما را در این زمینه کنترل می‌کنند:

• نشانی (URL) پلتفرم دیفای را دقیقا کنترل کنید؛ سایت‌های جعلی معمولا از دامنه‌های مشابه استفاده می‌کنند.
• قبل از اتصال کیف پول، اعتبار وب‌سایت را از منابع رسمی بررسی کنید.
• مجوز توکن (Token Approval) را محدود تعریف کنید، نه نامحدود (Unlimited)؛ پس از اتمام کار نیز مجوزهای اضافه را لغو کنید.
• به‌صورت دوره‌ای مجوزهای فعال را بازبینی کنید.

علائم هشداردهنده حملات سایبری ارز دیجیتال

به‌منظور پیش‌گیری از ضررهای بیشتر هر نشانه غیرعادی در تراکنش‌ها یا کیف پول‌های خود را جدی بگیرید. از مهم‌ترین علائم حمله سایبری اخیر به کاربران ارز دیجیتال موارد زیر هستند::

• تفاوت ظریف بین آدرس دیده‌شده در صفحه و آدرسی که بعد از کپی‌کردن در کلیپ‌بورد قرار می‌گیرد.
• ثبت تراکنش‌های غیرمنتظره در تاریخچه تراکنش‌ها.
• نمایش درخواست‌های غیرعادی از سوی کیف پول یا افزونه مرورگر به‌منظور دسترسی به توکن‌ها، لیست تراکنش‌ها و غیره.
• ریدایرکت‌های سریع و پی‌درپی به دامنه‌های متفاوت هنگام کار با وب‌سایت‌های دیفای.

اقدامات فوری برای قربانیان احتمالی حملات سرقت رمزارز

در مواجهه با نشانه‌های فوق، زمان اهمیت حیاتی دارد. گام‌های زیر را بدون تاخیر اجرا کنید:

• اتصال کیف پول را از همه وب‌سایت‌ها قطع کنید.
• تمام Token Approvalها را لغو کنید (از ابزارهایی مانند Revoke.cash استفاده کنید).
• دارایی‌ها را به یک کیف پول جدید و امن منتقل کنید.
• کیف پول را ریست کرده و تنها با یک عبارت بازیابی تازه و امن شروع کنید.
• مرورگر را پاک‌سازی کنید: کش، داده‌ها و افزونه‌های مشکوک را حذف کنید.

ابزارها و منابع پیشنهادی برای افزایش امنیت کاربران رمزارز

برای اجرای دقیق و سریع اقدامات امنیتی پیشنهادی در بخش قبل، ابزارهای زیر می‌توانند کارآمد باشند.

• Revoke.cash: بررسی و لغو مجوزهای توکن.
• DeFi Safety: ارزیابی‌های مستقل از شیوه‌های ایمنی و کیفیت پروتکل‌ها.
• Etherscan / BscScan: جست‌وجو و تایید آدرس‌ها، قراردادها و وضعیت تراکنش‌ها در بلاک‌چین‌های مربوط.

توصیه های امنیتی به توسعه‌ دهندگان

توسعه‌دهنده‌های وب ۳ و برنامه‌های مرتبط با ارز دیجیتال بیش از هر چیز باید با مکانیزم‌های متداول بدافزار جدید این بازار آشنا باشند. از نظر فنی سازوکار این بدافزار، شامل چهار مرحله زیر است:

• ایجاد Hook روی لایه شبکه وب: شامل بازتعریف و رهگیری fetch() و همچنین دست‌کاری XMLHttpRequest برای دسترسی به پاسخ‌ها/درخواست‌ها و جایگزینی آدرس‌ها.
• دست‌کاری Providerهای وب۳: شامل تغییر رفتار متدهایی مانند request، send و sendAsync در کیف پول‌های مبتنی بر مرورگر برای تزریق آدرس مقصد مهاجم یا تغییر پارامترهای تراکنش.
• یافتن آدرس‌های مشابه: شامل استفاده از فاصله Levenshtein برای انتخاب آدرس‌های مهاجم که ازنظر بصری بسیار شبیه به آدرس مقصد واقعی‌اند و احتمال تشخیص انسانی را کم می‌کنند.
• پشتیبانی چندزنجیره‌ای: شناسایی محیط کاربر و سازگارکردن حمله با شبکه‌های مختلف.

با توجه به این سازوکار، برای کاهش سطح حمله و افزایش اطمینان، مجموعه توصیه‌های زیر را در طراحی و پیاده‌سازی برنامه‌های خود در نظر بگیرید:

• اعتبارسنجی مستقل آدرس‌ها در سمت سرور: تطبیق آدرس‌های مقصد با فهرست‌های سفید (whitelist) یا قواعد ماژولار، به‌ویژه در تراکنش‌های حساس.
• Content Security Policy (CSP): محدودسازی منابع اسکریپت، جلوگیری از بارگذاری کدهای تزریقی و کاهش سطح حمله.
• هشدار در رفتار کپی آدرس: پیام اخطار هنگام ثبت کلیپ‌بورد برای آدرس‌ها یا نیاز به تایید مضاعف وقتی آدرس چسبانده‌شده با آدرس نمایش‌داده‌شده تفاوت دارد.
• تایید دوگانه برای تراکنش‌های بزرگ: نیاز به یک مرحله بازبینی اضافی (به‌عنوان مثال، تایید دومرحله‌ای در UI یا کانال مستقل) برای سقف‌های مشخص.
• نظارت بر Integrity: استفاده از Subresource Integrity (در صورت امکان) و امضا/هش برای اسکریپت‌های حساس.
• گزارش‌گیری و تلمتری ایمن: ثبت رخدادهای غیرعادی (مانند اختلاف آدرس قبل/بعد از کپی) بدون افشای داده شخصی.

امنیت کاربران رمزارز: شناسایی حملات و اقدامات پیشگیران

بدافزار جدید سرقت رمزارز در روزهای میانی شهریور ۱۴۰۴ با ترکیبی از روش‌های فریب بصری، دست‌کاری تراکنش و سوءاستفاده از مجوز توکن و با ماهیتی چندزنجیره‌ای طیف وسیعی از کاربران را تهدید می‌کند. راهبرد دفاعی موثر، متکی بر چند لایه امنیتی شامل بازبینی دقیق آدرس و جزئیات تراکنش پیش از ارسال، استفاده از مرورگرها و افزونه‌های امن، تعریف محدود و لغو دوره‌ای مجوزها و استفاده از کیف پول سخت‌افزاری برای دارایی‌های بزرگ است.

در صورت مشاهده هر نشانه مشکوک، فورا همه اتصال‌ها و مجوزها را قطع کرده و دارایی‌های‌تان را به کیف پولی جدید انتقال دهید. توسعه‌دهندگان نیز با پیاده‌سازی روش‌هایی مانند CSP، اعتبارسنجی سمت سرور، هشدارهای کپی آدرس و تأیید دوگانه، می‌توانند به‌طور معناداری ریسک کاربران را کاهش دهند. شما چه توصیه‌ای به دیگر کاربران دارید؟