سپتامبر ۲۰۲۴، پر از هک و کلاهبرداری؛ چقدر دارایی به سرقت رفته است؟

سایت کریپتو پوتیتو به نقل از شرکت امنیت سایبری پک‌شیلد (PeckShield) گزارش داده است که صنعت کرپیتو در ماه سپتامبر ۲۰۲۴ بیش از ۲۰ حمله هکری مختلف را پست سر گذاشته است. طبق گزارش این شرکت اگر ۳۲/۴ میلیون دلار توکن اسپارک رپد اتریوم (spWETH) که در حمله فیشینگ ۲۷ سپتامبر به سرقت رفت را در نظر نگیریم، حملات ماه سپتامبر کریپتو منجر به از دست رفتن مجموعا ۱۲۰/۲۳ میلیون دلار ارز دیجیتال شده است.

صرافی‌های بینگ‌اکس، پن‌پای و ایندودکس بزرگ‌ترین اهداف حملات ماه سپتامبر

سایت کریپتو پوتیتو در این گزارش اشاره کرده است که بزرگ‌ترین قربانیان حملات ماه سپتامبر صرافی‌های صرافی‌های بینگ‌اکس (BingX)، پن‌پای (Penpie) و ایندودکس (Indodax) بوده‌اند که در این حملات به ترتیب ۴۴، ۲۷ و ۲۱ میلیون دلار از وجوه خود را از دست داده‌اند.

در مورد هک صرافی بینگ‌ایکس که در روز ۲۰ سپتامبر (۳۰ شهریور) اتفاق افتاد، شرکت پک‌شیلد در ابتدا با انتشار بیانیه‌ای نسبت به مشکوک بودن خروج ناگهانی ۱۳/۵ میلیون دلار از این صرافی هشدار داد. البته با ادامه تحقیقات چندین کارشناس امنیت آنچین صنعت کریپتو وارد عمل شدند و میزان خسارات واردشده به این صرافی را بین ۴۴ تا ۵۵ میلیون دلار تخمین زدند. این صرافی که در کشور سنگاپور مستقر است، در پاسخ به این اخبار اعلام کرد که این شرکت تمام خسارات وارده به کاربران را (که از نظر این صرافی «ناچیز» هستند) جبران خواهد کرد.

قربانی بعدی صرافی پن‌پای (Penpie)‌ بود که در روز ۳ سپتامبر (۱۳ شهریور) مورد حمله قرار گرفت. مهاجمان در این هک از نقطه ضعف موجود در سپر حفاظتی ورود مکرر (Reentrancy) این صرافی استفاده کردند و موفق شدند یک مارکت پندل (Pendle) تقلبی را در این پلتفرم به ثبت برسانند. آنها با این روش توانستند از مکانیسم اعطای پاداش این پلتفرم سوءاستفاده کرده و بعد از به جیب زدن ۱۱٬۱۳۶/۶ اتریوم پا به فرار بگذارند.

البته مورد صرافی پن‌پای حواشی دیگری هم داشت. بر اساس گزارش‌ها، شخصی که متهم اصلی هک ۲۰۰ میلیون دلاری موسوم به یولر (Euler Hack) در سال گذشته بود، طی تماسی با هکرهای صرافی پن‌پای به آنها به خاطر موفقیتشان تبریک گفت و از آنها خواست که از بازگرداندن حتی یک سنت از وجوه به سرقت‌ رفته به صرافی پن‌پای خودداری کنند.

هدف بعدی حملات ماه سپتامبر صرافی اندونزیایی ایندودکس بود. مهاجمان در این حمله توانستند به سیستم برداشت این صرافی نفوذ کرده و مقادیر عظیمی از رمزارزهای بیت کوین (‌BTC)، ترون (TRX)، ماتیک (MATIC) و شیبا اینو (SHIB) آن را به سرقت ببرند.

هک‌های کوچک‌تر ماه سپتامبر

البته حملات هکری سپتامبر تنها به این سه صرافی محدود نمی‌شد و حملات نسبتا کوچک‌تری هم در این ماه اتفاق افتاد که هک ۵/۹۸ میلیون دلاری پروتکل دلتا پرایم (DeltaPrime) و هک ۵/۶ میلیون دلاری پلتفرم تروفلیشن (Truflation) از این جمله است.

پروتکل اونیکس (Onyx)، یکی از فورک‌های کامپاند فایننس (Compound Finance)، هم یکی از دیگر قربانیان این حملات بود که مجموعا ۳/۸ میلیون دلار خسارت دید. این حمله در ماه اکتبر هم تکرار شد و طی آن ۲/۱ میلیون دلار دیگر از سرمایه‌های این پروتکل به سرقت رفت. هکرها این بار از نقطه ضعفی در کد پلتفرم اونکیس استفاده کردند که سابقا از آن برای حمله به پلتفرم‌های میداس کپیتال (Midas Capital) و هاندرد فایننس (Hundred Finance)‌ سوء‌استفاده شده بود.

رتبه دهمین قربانی بزرگ حملات سایبری ماه سپتامبر به پلتفرم بناناگان (BananaGun) تعلق دارد که ۳ میلیون دلار خسارت دید. رتبه‌های بعدی به ترتیب به شرکت‌های بدراک (Bedrock) با ۱/۷۵ میلیون دلار و کاترپیلار کوین (CUT) با ۱/۴ میلیون دلار خسارت اختصاص دارد.