جزئیات تازه از هک Upbit؛ ضعف رمزنگاری داخلی مسیر را برای مهاجمان باز کرد

جزئیات تازه از هک Upbit؛ ضعف رمزنگاری داخلی مسیر را برای مهاجمان باز کرد

به گزارش مالی3، هکرهایی که به صرافی ارز دیجیتال Upbit حمله کرده‌اند، طبق بررسی‌ها از روش‌های پیشرفته‌ای مانند سرویس مخفی‌سازی Railgun برای ترکیب و پنهان‌سازی وجوه سرقت‌شده استفاده کرده‌اند. در این حمله که به گفته منابع مالی انجام شده، مجموعاً ۳۶ میلیون دلار ارز دیجیتال از کیف‌پول‌های این صرافی خارج شده است.

گزارش‌ها نشان می‌دهد مهاجم یا مهاجمان با بهره‌گیری از ابزار Railgun موفق شده‌اند مسیر انتقال وجوه را به‌گونه‌ای مخفی کنند که بسیاری از سامانه‌های تشخیص‌دهنده و میکسرها قادر به شناسایی آدرس‌های مرتبط با آن‌ها نبوده‌اند. همین موضوع باعث شد تراکنش‌های مهاجم بدون پرچم‌گذاری و توقف، به صورت پیوسته ادامه پیدا کند.

تحلیل داده‌های روی زنجیره بیانگر آن است که آدرس‌های مرتبط با این حمله به طور فعال از قابلیت‌های ناشناس‌سازی عمیق Railgun استفاده کرده‌اند؛ قابلیتی که امکان ردیابی مبدا و مقصد تراکنش‌ها را عملاً از بین می‌برد. با این حال، برخی از لایه‌های امنیتی این سرویس نتوانسته‌اند فعالیت هکر را به‌طور موثر مسدود کنند.

بر اساس اطلاعات منتشرشده، Upbit در این حمله بیش از ۳۰ میلیون دلار دارایی مبتنی بر سولانا و همچنین چندین دارایی دیگر را از دست داده است. مهاجمان با انجام یک حمله چندزنجیره‌ای، وجوه را بلافاصله میان کیف‌پول‌های مختلف جابه‌جا کردند و در ادامه اقدام به فروش بخش عمده‌ای از دارایی‌ها کردند. توکن‌های سولانا که سهم اصلی از دارایی‌های سرقت‌شده را تشکیل می‌دادند، ابتدا به سول آباد و سپس به USDC تبدیل شدند تا در نهایت برای ترکیب با اتریوم آماده شوند.

طبق داده‌های موجود، هکر در نهایت ۵۳۳ اتریوم به دست آورده است که ارزش تقریبی آن ۱.۶ میلیون دلار برآورد می‌شود. الگوی تبدیل سریع دارایی‌ها به ETH و سپس درهم‌آمیزی آن‌ها در میکسرها، شباهت زیادی به حملات منتسب به هکرهای وابسته به کره شمالی دارد.

صرافی Upbit نیز در اطلاعیه‌ای اعلام کرده نقص‌هایی در سیستم داخلی این شرکت زمینه را برای حمله فراهم کرده است؛ از جمله ضعف در رمزنگاری و مدیریت هش کلیدها که احتمالاً به مهاجمان اجازه دسترسی به کلیدهای خصوصی برخی کیف‌پول‌های عمومی کاربران را داده است.

در بخش دیگری از این پرونده مشخص شد سرویس Railgun به دلیل به‌روز نبودن پایگاه داده، نتوانسته آدرس‌های جدید هکر را شناسایی کند. تغییر سریع کیف‌پول‌ها توسط مهاجم موجب شد فیلترهای امنیتی Railgun نتوانند فعالیت‌های او را مسدود کنند. یکی از کیف‌پول‌های اصلی که ۴۱۰ اتریوم در آن قرار داشت نیز تنها ساعاتی پس از حمله ایجاد شده و برای مدت کوتاهی به عنوان واسطه مورد استفاده قرار گرفته است.

Railgun که در حوزه دیفای به عنوان یک ابزار حفظ حریم خصوصی شناخته می‌شود، طی ماه‌های اخیر با رشد چشمگیری روبه‌رو شده است. ارزش قفل‌شده این اپلیکیشن به ۹۵ میلیون دلار رسیده و میزان کارمزدهای آن طی سه‌ماهه اخیر به بیش از ۱.۳۱ میلیون دلار افزایش یافته است. رشد علاقه کاربران به حفظ حریم خصوصی، میکسرهای دیگری مانند Tornado Cash را نیز با افزایش ذخایر مواجه کرده است؛ به طوری که این پلتفرم اکنون بیش از ۳۲ هزار اتریوم در اختیار دارد.

در بازار توکن‌ها نیز قیمت رمزارز RAIL طی سه ماه گذشته رشد بیش از ۲۰۰ درصدی را تجربه کرده و به سطح ۳.۲۶ دلار رسیده است. Railgun که با الهام از پروژه‌هایی مانند ZCash طراحی شده، از حمایت ویتالیک بوترین، بنیان‌گذار اتریوم، نیز برخوردار بوده است.

با این حال، کارشناسان تاکید می‌کنند Railgun اساساً برای کاربران معمولی و حفظ حریم خصوصی تراکنش‌های روزمره طراحی شده و ابزاری برای هکرها محسوب نمی‌شود. ولی توانایی پیگیری و تحلیل کیف‌پول‌ها از طریق ابزارهای جانبی باعث شده مهاجمان نیز بتوانند از نقاط ضعف آن برای پنهان‌سازی مسیر دارایی‌های سرقت‌شده استفاده کنند.