“حادثه امنیتی ۳۰ دسامبر” برای کیف پول گواردا
کیف پول گواردا در یک حادثه امنیتی و شکاف داده، مورد نفوذ یک مهاجم قرار گرفته است. مدیر ارشد این پروژه، پل سوکولف، در گزارشی تحت عنوان “حادثه امنیتی ۳۰ دسامبر” از این حمله پردهبرداری کرد.
چه اتفاقی برای کیف پول گواردا افتاده است؟
در آخرین روز سال ۲۰۲۰، کیف پول گواردا از جهت یکی از ارائهدهندگان میزبانی دامنه خود، GoDaddy، مورد حمله قرار گرفته است. GoDaddy وظیفهی مدیریت نامهای دامنه هسته این شرکت را بر عهده دارد. به نظر میرسد که این نفوذ امنیتی از طریق GoDaddy صورت گرفته است چرا که قبلا نیز از کارمندان این شرکت در چندین حمله به ارائهدهندگان خدمات رمز ارز استفاده شده بود.
مدیران گواردا باور دارند که آنها به اشتباه کنترل حساب و دامنه را به یک مهاجم واگذار کردهاند. این امر برای مهاجم امکان تغییر دادن سابقه DNS را فراهم آورده است. مهاجم توانسته است دامنههای کیف پول گواردا را به یک فرم ورود جعلی هدایت کند.
این اتفاق دقیقا چگونه رخ داد؟
ابتدا، احراز هویت دو عاملی در دامنه اصلی آنها از کار افتاد. بنا بر گزارش GoDaddy، قبل از این اتفاق، هیچ ورودی صورت نگرفته بود. بعد از آن، آدرس ایمیل، شماره تلفن و PIN دسترسی تغییر یافت.
پل سوکولف، مدیر ارشد گواردا، در روز ۲ دسامبر برای آخرین بار به حساب این شرکت وارد شد. بعد از آن در تاریخ ۳۰ دسامبر، مشاهده میشود که احراز هویت دوعاملی بدون انجام ورود (ورودی رمز عبور) برداشته شد. این کار درست پس از تغییر تمامی مجوزهای ورود به حساب انجام شد.
بلافاصله پس از ربودن حساب، سوابق DNS برای دامنههای guarda.co و guarda.com تغییر یافت. سوابق جدید، یک وب سایت سرقت اطلاعات (Phishing) را نشان میدادند که فقط یک فرم بارگیری پشتیبان روی آن داشته است. این صفحه دقیقا مانند صفحه اصلی گواردا طراحی شده بود.
مدیران گواردا چگونه این مشکل را رفع کردند؟
مدیران این شرکت، بلافاصله به همه افراد در کانالهای رسمی خود در توییتر، فیسبوک و تلگرام اطلاع دادند که تا اطلاع ثانوی از استفاده از برنامههای گواردا امتناع کنند. مدیر گواردا گفته است:
“در عرض ۳۰ دقیقه، تمامی مستندات لازم را به GoDaddy ارسال کردیم تا دسترسی به حساب خود را بازگردانیم. در تماس تلفنی خود با تیم پشتیبانی آنها، تقاضا کردیم که حداقل در زمانی که درخواست ما را بررسی میکنند، دامنهی مورد حمله ما را مسدود کنند. اما هیچ کمک یا راهحلی از سوی تیم GoDaddy دریافت نکردیم.”
تیم کیف پول گواردا، یک پرونده را در واحد پلیس سایبری و واحد پلیس مالی استونی تشکیل دادند. در همان زمان، تلاش کردند تا دسترسی به دامنه خود را از طریق Cloudflare مسدود کنند. اما این راهحل نیز بیفایده بود. مهاجم دامنههای آنها را به حساب شخصی خود در Cloudflare متصل کرده بود.
با کمک مهندسهای خود توانستند صفحه وب Phishing را موقتا غیر فعال کنند تا از سرقتهای احتمالی جلوگیری کنند. تقریبا در ۹۰ درصد از زمانی که دامنه آنها تحت کنترل مهاجم بود، صفحه وب Phishing دچار مشکل بوده است.
تقریبا ۹ ساعت پس از ازکارافتادن احراز هویت دوعاملی، بالاخره توانستند دسترسی به حساب GoDaddy خود را بازیابی کنند. سپس به سرعت سوابق DNS را بازگرداندند. در نهایت پس از حصول اطمینان از امنیت، این موضوع را در رسانههای اجتماعی به کاربران خود اطلاع دادند.
کدام اطلاعات شخصی در دسترس مهاجم بوده است؟
هیچ کدام از منابع داخلی آنها از بین نرفته است و تنها دامنههای guarda.co و guarda.com مورد نفوذ قرار گرفتند.
البته آنها باور دارند که مهاجمان قادر بودند آدرس و کلید خصوصی کاربرانی را که نسخه پشتیبان خود را در دسکتاپ، صفحه وب و افزونه کروم قرار دادند، به دست آورند. کاربران برنامه موبایل، تنها با تأخیر در تراکنش مواجه شدند. زیرا بسیاری از منابع برنامه موبایل در زیردامنههای دیگر ذخیره شده بودند و API آنها قابل دسترس نبوده است.
وضعیت فعلی
تحقیق و بررسی آغاز شده است. برای ردیابی فرد مهاجم با پلیس استونی ارتباط نزدیکی برقرار کردهاند. تیم این پروژه در حال گردآوری یک لیست از آدرس افراد متضرر و مقدار وجوه از دست رفته هستند. آنها همچنین یک دادخواست را در مورد GoDaddy آماده میکنند. مستقیما با صرافیهای بزرگ تماس گرفتند تا آدرسهایی که مهاجم وجوه را به آنها منتقل میکند به لیست سیاه وارد شوند. به علاوه مستندات و آدرسها را به شرکتهای نظارت بر بلاک چین دادند.
چه کاری باید انجام شود؟
اگر گمان میکنید که وجوهتان در کیف پول گواردا مورد سرقت قرار گرفته است:
۱. با ارسال یک آگهی (تیکت) در مرکز پشتیبانی گواردا، مورد را با تیم پشتیبانی در میان بگذارید.
۲. در آگهی خود لازم است که تمام مبالغ و آدرسها و یا مقادیر هش تراکنشهای خود را ارائه کنید.
۳. به آشکارا بیان کنید که موافق هستید این حادثه به پلیس گزارش شود. این موضوع کمک بسیاری به تیم گواردا و همچنین شما میکند.
۴. در روزهای آتی یک نمونه فرم فراهم میکنند که لازم است اطلاعات را در آن برای اداره پلیس وارد نمایید.
۵. اخبار مربوط به این کیف را دنبال کنید تا از اطلاعات آخرین وضعیت برنامه مطلع باشید.
“به عنوان یک اقدام احتیاطی پیشنهاد داریم که برای هر کوینی که دارید یک کیف پول جدید غیراز گواردا بسازید. وجوه را به آن منتقل نمایید. سپس نسخه پشتیبان را با یک رمز عبور جدید، مجددا ذخیره کنید.”
راهی برای بازگرداندن رمز ارزهای سرقتی وجود دارد؟
در حال حاضر تیم کیف پول گواردا تمام اطلاعات را دربارهی آنهایی که مورد حمله قرار گرفتند جمعآوری میکند تا به برآوردی از وجوه از دسترفته برسد.
|| بیشتر بخوانیم: آسیب پذیری جدید کشف شده در کیف پول لجر (Ledger Vulnerability)