«سرقت رمزارز توسعه‌دهنده اتریوم با افزونه‌ هوش مصنوعی»

سرقت: زاک کول، توسعه‌دهنده اصلی ETH، پس از آنکه یک افزونه مخرب «Cursor» کلید خصوصی‌اش را سرقت کرد، دارایی‌های خود را از دست داد؛ اتفاقی که افزایش حملات تخلیه کیف پول علیه سازندگان را پررنگ‌تر می‌کند.

یکی از توسعه‌دهندگان اصلی اتریوم اعلام کرد که قربانی یک بدافزار تخلیه‌کننده کیف پول رمزارزی شده که به یک دستیار کدنویسی مخرب مرتبط بوده است؛ اتفاقی که نشان می‌دهد حتی سازندگان باتجربه هم می‌توانند در دام کلاهبرداری‌های روزبه‌روز پیشرفته‌تر بیفتند.

زاک کول، توسعه‌دهنده اصلی اتریوم، قربانی یک افزونه هوش مصنوعی مخرب از Cursor AI شد؛ افزونه‌ای که به مهاجم اجازه داد به مدت سه روز به کیف پول گرم او دسترسی داشته باشد و در نهایت دارایی‌ها را تخلیه کند. این موضوع را او روز سه‌شنبه در پستی در شبکه اجتماعی X اعلام کرد.

کول افزونه‌ای به نام contractshark.solidity-lang را نصب کرده بود که کاملاً معتبر به نظر می‌رسید — با آیکون حرفه‌ای، توضیحات کامل و بیش از ۵۴ هزار دانلود — اما به‌طور مخفیانه کلید خصوصی او را استخراج کرد. به گفته کول، این پلاگین فایل .env او را خوانده و کلید را به سرور مهاجم ارسال کرده است و همین موضوع امکان دسترسی سه‌روزه به کیف پول گرمش را فراهم کرده تا سرانجام در ۱۰ اوت دارایی‌ها تخلیه شوند.

او گفت: «در بیش از ۱۰ سال فعالیت، حتی یک “wei” هم به هکرها از دست نداده بودم. اما هفته گذشته برای انتشار سریع یک قرارداد عجله کردم.» کول افزود که این خسارت تنها «چند صد دلار» اتریوم بوده است، چرا که برای تست از کیف پول‌های گرم کوچک و جداگانه استفاده می‌کند و دارایی‌های اصلی‌اش را در کیف پول‌های سخت‌افزاری نگه می‌دارد.

بدافزارهای «تخلیه‌کننده کیف پول» که با هدف سرقت دارایی‌های دیجیتال طراحی می‌شوند، به تهدیدی رو‌به‌رشد برای سرمایه‌گذاران رمزارز تبدیل شده‌اند.

در سپتامبر ۲۰۲۴، یک بدافزار تخلیه‌کننده کیف پول که خود را به‌عنوان پروتکل WalletConnect جا زده بود، پس از بیش از پنج ماه حضور در فروشگاه Google Play، بیش از ۷۰ هزار دلار دارایی دیجیتال را از سرمایه‌گذاران سرقت کرد.

به گفته هاکان اونال، مدیر ارشد عملیات امنیتی در شرکت امنیت بلاکچین Cyvers، افزونه‌های مخرب VS Code و سایر ابزارها به «بردار حمله اصلی» برای توسعه‌دهندگان حوزه رمزارز تبدیل شده‌اند و مهاجمان با استفاده از ناشران جعلی و تکنیک typosquatting اقدام به سرقت کلیدهای خصوصی می‌کنند.

او توصیه کرد که سازندگان باید پیش از نصب افزونه‌ها آن‌ها را به‌دقت بررسی کنند، از ذخیره‌سازی اطلاعات محرمانه در متن ساده یا فایل .env خودداری کنند، از کیف پول سخت‌افزاری بهره ببرند و توسعه را در محیط‌های ایزوله انجام دهند.

در همین حال، ابزارهای تخلیه‌کننده رمزارز روزبه‌روز در دسترس‌تر و ساده‌تر برای کلاهبرداران می‌شوند.

گزارش تصویری از ابزارهای تخلیه رمزارز. منبع: AMLBot

به گزارش کوین‌تلگراف، یک گزارش مورخ ۲۲ آوریل از شرکت تحلیل و تطبیق قوانین حوزه رمزارز AMLBot نشان داد که این ابزارهای تخلیه رمزارز به‌صورت مدل «نرم‌افزار به‌عنوان سرویس» (SaaS) فروخته می‌شوند و کلاهبرداران می‌توانند آن‌ها را تنها با ۱۰۰ تتر اجاره کنند.

نتیجه گیری

حملات تخلیه کیف پول و افزونه‌های مخرب نشان می‌دهند که حتی توسعه‌دهندگان با تجربه هم در معرض تهدید هستند. با گسترش مدل‌های SaaS برای این بدافزارها و دسترسی آسان کلاهبرداران به آن‌ها، رعایت نکات امنیتی مانند استفاده از کیف پول سخت‌افزاری، بررسی دقیق افزونه‌ها و توسعه در محیط‌های ایزوله بیش از پیش حیاتی شده است. این روند هشداری است برای همه فعالان حوزه رمزارز تا محافظت از دارایی‌های دیجیتال خود را جدی بگیرند.