خذ حالة Orbiter Finance . في الشهر الماضي ، اتصل صحفي مفترض بدعى أنه من موقع إخباري مشفر بأحد مديري Discord وطلب منهم ملئ استمارة. لم يدرك الوسيط أن هذا الإجراء البسيط سيسلم السيطرة على خادم Discord الخاص به.
بمجرد الدخول ، قام الجاني بتجميد سيطرة المشرفين الأخرين على الخادم وقيد قدرة أعضاء المجتمع على إرسال الرسائل. لقد نشروا إعلاناً عن Airdrop مزيف ، حيث أرسلوا الجميع إلى أحد مواقع التصيد الإحتيالي المصمم لسرقة NFTs الخاصة بهم. أنها عملت. في المجموع ، سرقوا ما قيمته مليون دولار من NFTs و الرموز في ومضة ، في حين أن الفريق كان بإمكانهم المشاهدة فقط.
قال جوين - Gwen ، مدير تطوير الأعمال في Orbiter Finance ، الذي سرد ما حدث في مقابلة : " كنا قلقين للغاية ". إذا تسببنا في أي ضرر [ لأعضاء مجتمعنا ] ، فسوف نفقد الثقة منهم. "
يعد هجوم Orbiter مجرد مثال واحد حديث في سلسلة طويلة من عمليات الإستغلال التي تتضمن مصارف NFT وخوادم Discord أو حسابات تويتر المخترقة. تظهر البيانات التي تم جمعها بواسطة محلل NFT وخبير الأمان المعروف بإسم OKHotshot أنه تم إختراق 900 خادم Discord على الأقل منذ ديسمبر 2021 لتنفيذ هجمات تصيد احتيالي - مع اتجاه صعودي ملحوظ في الأشهر الثلاثة الماضية.
أثرت مثل هذه الهجمات على ما لا يقل عن 32000 محفظة ضحية خلال الأشهر التسعة الماضية ، وفقاً للبيانات التي جمعتها Peckshield و لوحات معلومات متعددة على Dune Analytics. في المجموع ، سرق المهاجمون رموز NFT ورموزاً بقيمة 73 مليون دولار.
الوجوه وراء الهجمات
غالباً ما تتضمن هذه المخططات استخدام العجلة و التعامل في سوق سوداء ناشئة لرمز التجفيف.
يتوجه منسقو هجمات التصيد أولاً إلى Telegram و Discord ، حيث يمكنهم العثور على قنوات يديرها مطوروا العديد من أنواع التجفيف المختلفة. يتصلون بالمطور ويشترون المجفف ، والذي يأخذ شكل مجموعة من التعليمات البرمجية التي يمكن دمجها في مواقع الويب ، بينما يوافقون عادة على منح 20 - 30% من العائدات للمطور. بعد ذلك ، سيستخدمون أساليبهم الخاصة - أحدها مثال موقع الأخبار المزيف الموصوف أعلاه - لإختراق خادم Discord أو حساب Twitter و الإعلان عن موقع ويب مزيف يحتوي على كود تجفيف NFT لسرقة NFT وأي شئ يمكنهم الحصول عليه.
أي عندما لا يكونون مشغولين بالواجبات المنزلية.
" 95% منهم أطفال تقل أعمارهم عن 18 عاماً ولا يزالون في المدرسة الثانوية " ، هذا ما قاله الباحث الأمني الذي يحمل اسم مستعار و المعروف بإسم بلوم - Plum ، والذي يعمل في فريق الثقة و الأمان في OpenSea المشهورة في سوق الـ NFT ، مضيفاً أن هذا هو السبب في أن يميل عدد الهجمات إلى الزيادة خلال العطلة الصيفية.
قال بلوم - Plum : " لقد تحدثت شخصياً إلى عدد غير قليل منهم وأعلم أنهم ما زالوا في المدرسة " . " لقد رأيت صوراً ومقاطع فيديو للعديد منهم من مدارسهم. يتحدثون عن معلميهم ، وكيف يفشلون في فصولهم الدراسية أو كيف يحتاجون إلى أداء واجباتهم المدرسية ".
يبدو أن هؤلاء الأطفال يبذلون القليل من الجهد لإخفاء ثرواتهم المكتشفة حديثاً.
قال بلوم " سيشترون جهاز كمبيوتر محمول وبعض الهواتف و الأحذية وينفقون مبالغ طائلة على Roblox. يلعبون جميعاً لعبة Roblox في معظم الأحيان. لذلك سيشترون أروع المعدات لأفاتار Roblox وألعاب الفيديو و الأشكال و أشياء من هذا القبيل . "
أضاف بلوم أنهم غالباً ما يشترون أيضاً بطاقات هدايا مع تشفير من سوق بطاقات الهدايا Bitrefill ، وينفقون آلاف الدولارات على Uber Eats ، وحتى شراء سيارات لا يمكنهم قيادتها بعد. وهم أيضاً يقامرون.
" سوف يراهنون بمبلغ 40 ألف دولار على لعبة البوكر عبر الإنترنت ويقومون بدفقها إلى جميع الضاربين الآخرين في مكالمة على Discord. سيشاهد الجميع هذا الشخص وهو يلعب بعبة البوكر هذه ".
قال بلوم إن المستغلين يحاولون إخفاء أثارهم من خلال الدفع للناس في البلدان ذات الدخل المنخفض لإستخدام بياناتهم الشخصية للتسجيل في البورصات ، و التشويش على المسار عند صرف النقود. لكنهم قالوا إن بعضهم على الأقل كان يجب القبض عليهم الآن لأنهم تركوا وراءهم أدلة كثيرة على أفعالهم - لولا عدم اهتمام سلطات إنفاذ القانون بالقبض عليهم.
أما عن سبب اعتقادهم الجناة أنهم قادرون على الإفلات من مثل هذه الهجمات ، فقد تكهن بلوم بأنهم " يشعرون بأنهم لا يقهرون ، ولديهم وضع المسيطر - ولا يمكن لأحد أن يلمسهم ".
في حين أن دولاً مثل كوريا الشمالية متورطة أيضاً في هجمات التصيد التي تستهدف NFTs ، فإنها عادة ما تستخدم مصارف خاصة بها وتكون أقل انخراطاً في أجهزة التجفيف المعروضة للبيع ، كما قال بلوم. أما بالنسبة لأولئك الذين ينفذون في بعض الحالات هجمات باستخدام تقنيتهم الخاصة - فهم بعيدون بعض الشئ ، لكن ملفاتهم الشخصية المستعارة تترك أثراً مميزاً.
ظهور مجفف رموز NFT
أنشأ Monkey ، أحد أقدم مجفف رموز NFT ، قناة Telegram الخاصة بهم في أغسطس. ولكن لم يكن الأمر كذلك حتى شهر أكتوبر عندما بدأ نشاطه حقاً. خلال الأشهر القليلة التالية ، تم استخدام تقنيتهم لسرقة 2200 رمزاً من NFT وفقاً لـ PeckShield بقيمة 9.3 مليون دولار ، و 7 ملايين دولار إضافية من الرموزالمميزة.
في 28 فبراير ، قرر القرد تعليق قبعته. في رسالة وداع ، قال مطور البرنامج ، " يجب ألا يفقد جميع مجرمي الإنترنت الشباب أنفسهم في السعي وراء المال السهل ". طلبوا من عملائهم استخدام مصفاة منافسة تُعرف بإسم Venom.
كان Venom منافساً جديراً. كان من أوائل المجففات ، ومع مرور الوقت تم استخدامه لسرقة أكثر من 200 رمزاً من NFT من أكثر من 15000 ضحية. استخدم عملاء تجفيف 530 موقعاً للتصيد الإحتيالي لتنفيذ هجمات تستهدف مشاريع التشفير مثل Arbitrum و Circle و Blur - حصدوا ما مجموعة 29 مليون دولار عبر NFTs و الإيثر و الرموز المختلفة.
في حين أن Venom كانت واحدة من أوائل أجهزة تجفيف NFT التي أصبحت متعددة السلسلة ، إلا انها لم تنجح بشكل جيد ، كما لاحظ خبراء الأمن . لكنهم كان أول مجفف يستخدم لسرقة NFTs في سوق NFT Blur.
ومن بين المنافسين الأخرين Inferno ، الذي تم استخدامه لسرقة 9.5 مليون دولار من 11000 ضحية و Pussy ، و التي تم استخدامه لسرقة 14 مليون دولار من 3000 ضحية. استخدمه عملاء Angel ، الذي نشأ من منتدى قرصنة روسي ، لسرقة مليون دولار من أكثر من 500 ضحية في شكل NFTs ورموز مختلفة - أحدثها أختراق حساب Zerion لمحفظة التشفير على تويتر. ثم جاء Pink.
قضية Pink الغريبة
في 25 أكتوبر ، كان Fantasy ، وهو خبير أمني ومؤسس مشارك لشركة أمن التشفير BlockMage ، يحفر في خادم Discord من أجل أمان المحفظة ، وهو منتج تشفير مصمم لحماية من هجمات التصيد الإحتيالي. لقد صادفوا هنا حساباً آخر يسمى BlockDev ، أدعى أنه باحث أمني و أدار حساباً على تويتر يسمى Chainthreats حيث ينشرون معلومات أمنية حول الثغرات.
بينما كان لدى Fantasy و BlockDev بعض الخلافات عندما التقيا لأول مرة ، بمرور الوقت ، بدأوا يتحدثون بشكل منتظم. ثم جاءت BlockDev بفكرة : استغلال المحفظة المشفرة الساخنة التي يملكها مطور Venom Drainer - بإستخدام واجهة برمجة التطبيقات الخاصة بها ضدها. أوضح BlockDev كيف كانوا يخططون للقيام بذلك ثم نفذوا الهجوم ، وسرقوا 14000 دولار من العملة المشفرة من مطور Venom. شاهد Fantasy كل شئ يحدث ولاحظ أسفل المحفظة التي استخدمها BlockDev لتنفيذ الهجوم.
في بداية العام ، اندلع مصرف NFT جديد على الساحة يسمى Pink. بدت هذه أكثر تقدماً من سابقاتها. سرعان ما أصبحت شائعة واستخدمت لسرقة NFTs في موجة من الهجمات. فقط عندما نظر Fantasy في الأمر ، قاموا بتتبع مصدر الأموال المستخدمة في إعداد التجفيف إلى محفظة Block Dev - مما يشير إلى أنهم كانوا نفس الشخص.
" لقد عدت إلى مصدر التمويل الأًصلي بالأضافة إلى النشاط العام بين المحفظتين - فهما يشتركان في نشاط مماثل. قال فانتسي : " لقد واجهته ولم يكن سعيداً جداً بذلك. " لقد أصيب بخيبة أمل كشخص. كان يعتقد أنه يمكن أن يثق بي ، وهو ما أعتقدت انه ممتع للغاية ".
في هذه المرحلة ، قام الباحث المفترض ، المعروف الآن بإسم Pink ، بحذف حسابات Discord و تويتر الخاصة بهما وقطع العلاقات مع الباحثين الأمنيين مثل Fantasy و Plum.
أستمر استخدام أداة التجفيف الوردية في عمليات استغلال أكبر خلال شهري مايو ويونيو ، بما في ذلك Orbiter Finance و LiFi و Flare و Evmos ، بالإضافة إلى حساب Steve Aoki على تويتر وغيرها.
استخدم المهاجمون مرة أخرى تكتيك الظهور كصحفيين للتواصل لإجراء مقابلات ، وغالباً ما أخبروا مديري Discord ، أو أياً كان هدفهم ، بوضع إشارة مرجعية على صفحة ويب معينة. وفقاً لـ ScamSniffer ، فإن هذه الخطوة الأساسية هي كيف ينتهي بهم الأمر بالتسلل إلى الخوادم.
أشار Plum و Fantasy إلى أن أداة التجفيف الوردية تمكنت من تجنب الحماية ، مثل امتدادات المحفظة المصممة لمنع مثل هذه السرقات. قالوا إن Pink قد حقق ناجاً في تجاوز ملحقات المحفظة Pocket Universe و Wallet Guard . قاموا أيضاً بتنفيذ طريقة لسرقة الرموز المميزة و NFTs في نفس الوقت على Blur ، و التي وصفوها بأنها تطور مهم.
بالنسبة لما يمكن فعله للحماية من مثل هذه الهجمات ، قال بلوم إن امتدادات المحفظة التي تركز على الأمان لا تزال جيدة لحماية المحافظ بشك عام. لقد أشاروا إلى أنه من الممارسات الجيدة استخدام محافظ متعددة وتخزين كميات كبيرة من الأموال في محافظ باردة ، وأضافوا أنه من الجيد أيضاً إلغاء الموافقات - عندما تمنح المحفظة إذن البلوكتشين للتفاعل مع رمز معين - إذا كان الرمز في السؤال. لا يتم استخدامه بنشاط.
قال بلوم : " لا تهيئ نفسك لخطأ واحد - إذا كان صراخ أطفالك مشتتاً - يتسبب في فقذ كل ما لديك ".
ملخص المشاركة
● تستخدم أجهزة تجفيف الرموز - NFT Drainers مثل Inferno و Venom بشكل شائع لتنفيذ هجمات التصيد التي تتضمن خوادم Discord وحسابات تويتر المخترقة
● تم إستخدام هذه المصارف لسرقة 73 مليون دولار من أكثر من 32000 محفظة - تاركة 900 خادم Discord مخترق في أعقابه.
● نلقي نظرة على العام السُفلي الغامض وراء هذا النشاط وننظر إلى من يُنفذ الهجمات.
