خطأ شركة أمان Web3 يكشف عن ضحايا استغلال بقيمة 50 مليون دولار لمصدر المحفظة

تم رمي ضحايا استغلال مقرض DeFi Radiant Capital في حالة من الارتباك الشديد عندما قامت شركة أمن بطريق الخطأ بمشاركة رابط لجهاز السحب من المحفظة أثناء محاولتها مساعدتهم.

في 17 أكتوبر، تم انتقاد شركة الأمان عبر الويب3 Ancilia بسبب إهمالها بعد توجيه ضحايا الهجوم إلى حساب X المتنكر كمقرض DeFi لخداع المستخدمين لزيارة موقع خبيث مصمم لسحب أصول المستخدمين عن طريق اختراق الموافقة.

خدع خبراء الأمان

كانت أنسيليا أول من قام بالإبلاغ عن الاستغلال في 16 أكتوبر، الذي شهد استغلال العقود الذكية لراديانت كابيتال على سلسلة BNB وأربيتروم عبر وظيفة ‘transferFrom’، مما يسمح للمهاجمين بسحب أكثر من 50 مليون دولار من الأصول، بما في ذلك USDC وWBNB وETH.

بعد الانتهاك، حثت رايديانت المستخدمين على إلغاء جميع الموافقات باستخدام Revoke.cash، وهو أداة تسمح للمستخدمين بفصل محافظهم عن العقود الذكية الخبيثة بحيث يمكن تفادي المزيد من الخسائر

كان هذا الخطوة ضرورية لأن الهجمات قد حصلت على السيطرة على العديد من المفاتيح الخاصة، مما يسمح لهم بالتحكم في محفظة الوقع المتعددة الإمضاء لبروتوكول DeFi عن طريق نقل الملكية.

قفزت النصابين على الفرصة، متنكرين في شركة Radiant Capital على X ودفعوا روابط مزيفة تنكرت لتشبه منصة Revoke.cash. لم يدرك Ancilia الاحتيال، وبالخطأ قامت بمشاركة المنشور المزيف، مطالبة المستخدمين بـ ‘متابعة الرابط’، الذي أدى مباشرةً إلى تفريغ المحفظة.

حذفت المشاركة من Ancilia إعادة نشر محتال Radiant Capital | المصدر: Spreek/Xإذا قام الضحايا غير المحظوظين بالنقر على الرابط وربط محافظهم والموافقة على الأذونات، فإن أموالهم ستكون قد تم سحبها.

ظهر أعضاء المجتمع الذين لديهم بصيرة سريعًا بالإشارة إلى خطأ الشركة الأمنية وانتقدوا الإهمال في أنسيليا بأنها “الحساب” الأمني “الموثوق به”. بعد ذلك، حذفت أنسيليا المنشور، وأصدرت اعتذارًا، وأشارت المستخدمين إلى الحساب الأصلي لراديانت كابيتال.

يتم تسليط الضوء على خطورة هذه الاحتيالات من خلال حقيقة أن الجهات الفاعلة السيئة تنظم حملات احتيال الموافقة هذه من حسابات X المخترقة التي غالبًا ما تحمل علامة التحقق الذهبية، والتي تخصص للمنظمات الموثوقة على منصة وسائل التواصل الاجتماعي.

ثم، عن طريق تعديل اسم الحساب والمقبض بشكل طفيف، يستطيع المحتالون خداع مستخدمي web3. في هذه الحالة، قاموا بتغيير اسم الحساب إلى “راديانت كابيتال” بدلاً من “راديانت كابيتال” وغيروا المقبض إلى “@RDNTCapitail” بدلاً من “@RDNTCapital”. بينما قد تبدو هذه التغييرات سهلة الرؤية، إلا أن العديد من المستخدمين في كثير من الأحيان يفوتهم رؤيتها للمرة الأولى.

في وقت كتابة هذا النص، كانت هناك العديد من حالات المنشورات الاحتيالية المذكورة أعلاه لا تزال حية تحت منشورات Ancilia.

عمليات الاحتيال بالتنكر

تقمص المشاريع الحقيقية لخداع مستثمري العملات المشفرة أصبح واحدًا من أكثر الأدوات شيوعًا التي يستخدمها الاحتياليون لجذب ضحاياهم إلى منصات الصيد الاحتيالية

في وقت سابق من هذا العام، حذرت شركة الأمان السيبراني SlowMist من أن أكثر من 80٪ من التعليقات تحت منشورات مشاريع العملات الرقمية الرئيسية كانت عبارة عن عمليات احتيال. وفي الوقت نفسه، أشار تقرير ScamSniffer إلى أن هذه التكتيك كانت الخطوة الأساسية للمحتالين، مما تسبب في خسائر بملايين الدولارات لمستثمري العملات الرقمية في فبراير.

قبل يوم واحد فقط من الهجوم الأخير، تم رصد أشخاص سيئين يقومون بتشغيل حملة مماثلة لخداع مستثمري WLFI. حتى قام المحتالون باستهداف مستخدمي Revoke Cash من خلال التنكر في الخدمة في أوائل سبتمبر والترويج لموقع خبيث باستخدام إعلانات Google.

في أخبار ذات صلة، كانت هذه المرة الثانية التي تم فيها استغلال راديانت كابيتال هذا العام. تمكن القراصنة من الفرار بمبلغ 4.5 مليون دولار من البروتوكول في هجوم القرض الفوري في يناير