هجوم إلكتروني يسرق ملايين بنقرة واحدة

window.litespeed_ui_events=window.litespeed_ui_events||["mouseover","click","keydown","wheel","touchmove","touchstart"];var urlCreator=window.URL||window.webkitURL;function litespeed_load_delayed_js_force(){console.log("[LiteSpeed] Start Load JS Delayed"),litespeed_ui_events.forEach(e=>{window.removeEventListener(e,litespeed_load_delayed_js_force,{passive:!0})}),document.querySelectorAll("iframe[data-litespeed-src]").forEach(e=>{e.setAttribute("src",e.getAttribute("data-litespeed-src"))}),"loading"==document.readyState?window.addEventListener("DOMContentLoaded",litespeed_load_delayed_js):litespeed_load_delayed_js()}litespeed_ui_events.forEach(e=>{window.addEventListener(e,litespeed_load_delayed_js_force,{passive:!0})});async function litespeed_load_delayed_js(){let t=[];for(var d in document.querySelectorAll('script[type="litespeed/javascript"]').forEach(e=>{t.push(e)}),t)await new Promise(e=>litespeed_load_one(t[d],e));document.dispatchEvent(new Event("DOMContentLiteSpeedLoaded")),window.dispatchEvent(new Event("DOMContentLiteSpeedLoaded"))}function litespeed_load_one(t,e){console.log("[LiteSpeed] Load ",t);var d=document.createElement("script");d.addEventListener("load",e),d.addEventListener("error",e),t.getAttributeNames().forEach(e=>{"type"!=e&&d.setAttribute("data-src"==e?"src":e,t.getAttribute(e))});let a=!(d.type="text/javascript");!d.src&&t.textContent&&(d.src=litespeed_inline2src(t.textContent),a=!0),t.after(d),t.remove(),a&&e()}function litespeed_inline2src(t){try{var d=urlCreator.createObjectURL(new Blob([t.replace(/^(?: )?$/gm,"$1")],{type:"text/javascript"}))}catch(e){d="data:text/javascript;base64,"+btoa(t.replace(/^(?: )?$/gm,"$1"))}return d} var litespeed_vary=document.cookie.replace(/(?:(?:^|.*;\s*)_lscache_vary\s*\=\s*([^;]*).*$)|^.*$/,"");litespeed_vary||fetch("/wp-content/plugins/litespeed-cache/guest.vary.php",{method:"POST",cache:"no-cache",redirect:"follow"}).then(e=>e.json()).then(e=>{console.log(e),e.hasOwnProperty("reload")&&"yes"==e.reload&&(sessionStorage.setItem("litespeed_docref",document.referrer),window.location.reload(!0))});

كيف حدث هجوم تسميم العنوان

في قلب الحادثة توجد محفظة نشطة منذ ما يقرب من عامين وتُستخدم بشكل أساسي لتحويلات USDT. بعد سحب الأموال من Binance، تلقى المستخدم حوالي 50 مليون دولار من USDT. معتقدًا أن ذلك كان طريقة آمنة، قام المستخدم أولاً بإجراء تحويل تجريبي صغير. بعد بضع دقائق، تم إجراء التحويل الرئيسي، لكن دون علم المستخدم، استخدم العنوان الخاطئ.

قبل الوصول إلى هذه النقطة، كان المحتال قد أعد بالفعل هجوم "تسميم العنوان". تم إنشاء محفظة تشبه إلى حد كبير عنوانًا كان الضحية يستخدمه بشكل متكرر، وتم إرسال كمية ضئيلة من USDT إليها، مما أضافها إلى سجل المعاملات. نظرًا لأن العناوين في واجهة المحفظة تظهر كسلاسل طويلة ومعقدة، قام المستخدم دون قصد بنسخ هذا العنوان المزيف من سجل المعاملات عند نيته تحويل الأموال، مما أدى إلى نقل ما يقرب من 50 مليون دولار إلى محفظة المهاجم بنقرة واحدة فقط.

جدل نموذج UTXO ورأي Charles Hoskinson

تدخل Charles Hoskinson، مؤسس Cardano، في الحادثة، مشيرًا إلى أن مثل هذه الخسارة يصعب حدوثها في بعض بنى البلوكشين الأخرى. وأوضح أن النماذج القائمة على الحسابات المستخدمة في Ethereum والشبكات المبنية على EVM تُمكّن هيكليًا من عمليات احتيال مثل تسميم العنوان. في هذا النموذج، تُحفظ العناوين كحسابات دائمة، وغالبًا ما تطلب المحافظ من المستخدمين نسخ العناوين من المعاملات السابقة، وهي عادة يستهدفها المحتالون.

وفقًا لـ Hoskinson، فإن الشبكات التي تستخدم نموذج UTXO، مثل Bitcoin وCardano، أكثر مرونة في هذا الجانب. في نموذج UTXO، كل معاملة تولد مخرجات جديدة أثناء استهلاك القديمة، مما يلغي فكرة "رصيد الحساب" الدائم. ونتيجة لذلك، لا يوجد سجل عناوين دائم يمكن تسميمه بصريًا. ويؤكد أن هذه الحادثة ليست عيبًا في البروتوكول أو خطأ في العقد الذكي، بل هي تفاعل خطير بين التصميم والسلوك البشري.

وقد تم تسليط الضوء على مخاطر مماثلة في تقارير أخرى مؤخرًا. خلال الأسابيع القليلة الماضية، أصدرت إحدى شركات المحافظ الرئيسية تحديثًا أمنيًا لتحذير المستخدمين من عادة نسخ العناوين وأعادت تصميم شاشات التحقق من العنوان. وتؤكد هذه التطورات على أهمية تصميم المحافظ إلى جانب الاحتياطات الفردية.