سرق هاكر 750،000 دولار من عملات البيتكوين في أسبوع
حصل المتسلل (أو مجموعة المتسللين) على أكثر من 200 عملة بيتكوين (حوالي 750،000 دولار بسعر الصرف في نهاية عام 2018) باستخدام هجوم بارع على البنية التحتية لمحفظة Electrum.
كنتيجة للهجوم ، أظهرت التطبيقات الشرعية للعمل مع محفظة Electrum رسائل على أجهزة كمبيوتر المستخدمين تحثهم على تنزيل تحديث ضار للبرنامج من مستودع GitHub غير مصرح به.
بدأ الهجوم في 21 ديسمبر ، ويبدو أنه توقف بعد أن أغلق مسؤولو GitHub مستودع المتسللين. تتوقع إدارة محفظة Electrum تكرار الهجوم باستخدام المستودع الجديد على GitHub أو رابط لخادم آخر للتنزيل.
هذا يرجع إلى حقيقة أن الثغرة الأمنية التي يستند إليها الهجوم لا تزال غير مصححة ، على الرغم من أن إدارة Electrum تتخذ خطوات لإضعاف فائدتها للمهاجم. الهجوم كالتالي:
- يضيف مهاجم العشرات من الخوادم الخبيثة إلى شبكة محفظة Electrum.
- يبدأ مستخدم محفظة Electrum الشرعية نقل عملات البيتكوين.
- إذا كانت المعاملة مرتبطة بأحد الخوادم الوهمية ، فإنها تُرجع خطأً يطالب المستخدم بتنزيل تحديث تطبيق المحفظة من موقع ضار (مستودع GitHub).
- يتبع المستخدم الرابط ويقوم بتنزيل التحديث .
- عندما يفتح المستخدم تطبيقًا مزيفًا ، يطلب رمز مصادقة ثنائي العامل. هذه إشارة خطر ، حيث إن هذه الرموز مطلوبة فقط قبل إرسال الأموال ، وليس في بداية المحفظة.
- تستخدم محفظة shell رمزًا لسرقة أموال المستخدم وتحويلها إلى عنوان البيتكوين للمهاجم.
المشكلة هي أن خوادم Electrum تسمح لك بإرسال طلب لإطار منبثق في محفظة مستخدم يحتوي على نص اعتباطي. كانت الهجمات الأولى أكثر فعالية وخدعت المستخدمين أكثر من تلك اللاحقة. حدث هذا لأن محفظة Electrum أظهرت نص Rich Text Format ، مما جعل النوافذ المنبثقة تبدو أصلية وزودت المستخدمين برابط يمكنك النقر عليه ببساطة.
عند تلقي رسالة هجوم ، قام فريق Electrum بتحديث التطبيق بصمت حتى لا يتم عرض هذه الرسائل بتنسيق RTF.
وقال سومبرنايت ، أحد أعضاء فريق تطوير الإلكتروم: "لم نعلن هذا الهجوم علانية حتى الآن ، لأنه بعد إصدار الإصدار 3.3.2 ، توقفت الهجمات". "ومع ذلك ، بدأت الهجمات الآن مرة أخرى."
ليس كل المستخدمين الذين تلقوا أخطاء في نموذج جديد ، بدوا مشبوهين. وكان البعض أكثر قلقا من القلق. قاموا بنسخ الرابط يدويًا من النص الموجود في النافذة المنبثقة إلى المتصفح ، ثم قاموا بتنزيل وتثبيت تحديث المحفظة المزيفة.
توقف الهجوم عندما قامت إدارة GitHub بحذف المستودع الذي يحتوي على الإصدار الضار من المحفظة.
كما ذكرنا سابقًا ، من المتوقع حدوث موجة من الهجمات الجديدة ، ربما باستخدام رابط جديد. ولكن المشكلة في شكل خوادم ضارة تعمل على المهاجم لا تزال ذات صلة.
يدرس المطورون حاليًا استبدال رسائل الخطأ التي يرسلها الخادم عن طريق إرسال رموز الخطأ التي ستفك تشفير محفظة Electrum من جانب العميل ، مع عرض الرسائل المحددة مسبقًا.
يقول SomberNight أن مطوري Electrum اكتشفوا حاليًا 33 خادمًا ضارًا على الأقل أضافوا إلى شبكتهم ، ويجب أن يكون هناك حوالي 40 إلى 50 منهم. لم يتضح بعد ما الذي سيفعلونه بهذه الخوادم.