"حادثه امنیتی 30 دسامبر" برای کیف پول گواردا
محمد حضرت پور | 2021.01.05

“حادثه امنیتی 30 دسامبر” برای کیف پول گواردا

کیف پول گواردا در یک حادثه امنیتی و شکاف داده، مورد نفوذ یک مهاجم قرار گرفته است. مدیر ارشد این پروژه، پل سوکولف، در گزارشی تحت عنوان “حادثه‌ امنیتی 30 دسامبر” از این حمله پرده‌برداری کرد.

چه اتفاقی برای کیف پول گواردا افتاده است؟

در آخرین روز سال 2020، کیف پول گواردا از جهت یکی از ارائه‌دهندگان میزبانی دامنه خود، GoDaddy، مورد حمله قرار گرفته است. GoDaddy وظیفه‌ی مدیریت نام‌های دامنه هسته این شرکت را بر عهده دارد. به نظر می‌رسد که این نفوذ امنیتی از طریق GoDaddy صورت گرفته است چرا که قبلا نیز از کارمندان این شرکت در چندین حمله به ارائه‌دهندگان خدمات رمز ارز استفاده شده بود.

مدیران گواردا باور دارند که آن‌ها به اشتباه کنترل حساب و دامنه را به یک مهاجم واگذار کرده‌اند. این امر برای مهاجم امکان تغییر دادن سابقه DNS را فراهم آورده است. مهاجم توانسته است دامنه‌های کیف پول گواردا را به یک فرم ورود جعلی هدایت کند.

این اتفاق دقیقا چگونه رخ داد؟

ابتدا، احراز هویت دو عاملی در دامنه اصلی آن‌ها از کار افتاد. بنا بر گزارش GoDaddy، قبل از این اتفاق، هیچ ورودی صورت نگرفته بود. بعد از آن، آدرس ایمیل، شماره تلفن و PIN دسترسی تغییر یافت.

پل سوکولف، مدیر ارشد گواردا، در روز 2 دسامبر برای آخرین بار به حساب این شرکت وارد شد. بعد از آن در تاریخ 30 دسامبر، مشاهده می‌شود که احراز هویت دوعاملی بدون انجام ورود (ورودی رمز عبور) برداشته شد. این کار درست پس از تغییر تمامی مجوزهای ورود به حساب انجام شد.

بلافاصله پس از ربودن حساب، سوابق DNS برای دامنه‌های guarda.co و guarda.com تغییر یافت. سوابق جدید، یک وب سایت سرقت اطلاعات (Phishing) را نشان می‌دادند که فقط یک فرم بارگیری پشتیبان روی آن داشته است. این صفحه دقیقا مانند صفحه اصلی گواردا طراحی شده بود.

مدیران گواردا چگونه این مشکل را رفع کردند؟

مدیران این شرکت، بلافاصله به همه افراد در کانال‌های رسمی خود در توییتر، فیسبوک و تلگرام اطلاع دادند که تا اطلاع ثانوی از استفاده از برنامه‌های گواردا امتناع کنند. مدیر گواردا گفته است:

“در عرض 30 دقیقه، تمامی مستندات لازم را به GoDaddy ارسال کردیم تا دسترسی به حساب خود را بازگردانیم. در تماس تلفنی خود با تیم پشتیبانی آن‌ها، تقاضا کردیم که حداقل در زمانی که درخواست ما را بررسی می‌کنند، دامنه‌ی مورد حمله ما را مسدود کنند. اما هیچ کمک یا راه‌حلی از سوی تیم GoDaddy دریافت نکردیم.”

تیم کیف پول گواردا، یک پرونده را در واحد پلیس سایبری و واحد پلیس مالی استونی تشکیل دادند. در همان زمان، تلاش کردند تا دسترسی به دامنه خود را از طریق Cloudflare مسدود کنند. اما این راه‌حل نیز بی‌فایده بود. مهاجم دامنه‌های آن‌ها را به حساب شخصی خود در Cloudflare متصل کرده بود.

با کمک مهندس‌‌های خود توانستند صفحه وب Phishing را موقتا غیر فعال کنند تا از سرقت‌‌های احتمالی جلوگیری کنند. تقریبا در 90 درصد از زمانی که دامنه آن‌‌ها تحت کنترل مهاجم بود، صفحه وب Phishing دچار مشکل بوده است.

تقریبا 9 ساعت پس از ازکارافتادن احراز هویت دوعاملی، بالاخره توانستند دسترسی به حساب GoDaddy خود را بازیابی کنند. سپس به سرعت سوابق DNS را بازگرداندند. در نهایت پس از حصول اطمینان از امنیت، این موضوع را در رسانه‌‌های اجتماعی به کاربران خود اطلاع دادند.

کدام اطلاعات شخصی در دسترس مهاجم بوده است؟

هیچ کدام از منابع داخلی آن‌ها از بین نرفته است و تنها دامنه‌های guarda.co و guarda.com مورد نفوذ قرار گرفتند.

البته آن‌ها باور دارند که مهاجمان قادر بودند آدرس و کلید خصوصی کاربرانی را که نسخه پشتیبان خود را در دسکتاپ، صفحه وب و افزونه کروم قرار دادند، به دست آورند. کاربران برنامه موبایل، تنها با تأخیر در تراکنش مواجه شدند. زیرا بسیاری از منابع برنامه موبایل در زیردامنه‌های دیگر ذخیره شده بودند و API آن‌ها قابل دسترس نبوده است.

وضعیت فعلی

تحقیق و بررسی آغاز شده است. برای ردیابی فرد مهاجم با پلیس استونی ارتباط نزدیکی برقرار کرده‌اند. تیم این پروژه در حال گردآوری یک لیست از آدرس افراد متضرر و مقدار وجوه از دست رفته هستند. آن‌ها همچنین یک دادخواست را در مورد GoDaddy آماده می‌کنند. مستقیما با صرافی‌های بزرگ تماس گرفتند تا آدرس‌هایی که مهاجم وجوه را به آن‌ها منتقل می‌کند به لیست سیاه وارد شوند. به علاوه مستندات و آدرس‌ها را به شرکت‌های نظارت بر بلاک چین دادند.

چه کاری باید انجام شود؟

اگر گمان می‌کنید که وجوهتان در کیف پول گواردا مورد سرقت قرار گرفته است:

1. با ارسال یک آگهی (تیکت) در مرکز پشتیبانی گواردا، مورد را با تیم پشتیبانی در میان بگذارید.

2. در آگهی خود لازم است که تمام مبالغ و آدرس‌ها و یا مقادیر هش تراکنش‌های خود را ارائه کنید.

3. به آشکارا بیان کنید که موافق هستید این حادثه به پلیس گزارش شود. این موضوع کمک بسیاری به تیم گواردا و همچنین شما می‌کند.

4. در روزهای آتی یک نمونه فرم فراهم می‌کنند که لازم است اطلاعات را در آن برای اداره پلیس وارد نمایید.

5. اخبار مربوط به این کیف را دنبال کنید تا از اطلاعات آخرین وضعیت برنامه مطلع باشید.

“به عنوان یک اقدام احتیاطی پیشنهاد داریم که برای هر کوینی که دارید یک کیف پول جدید غیراز گواردا بسازید. وجوه را به آن منتقل نمایید. سپس نسخه پشتیبان را با یک رمز عبور جدید، مجددا ذخیره کنید.”

راهی برای بازگرداندن رمز ارزهای سرقتی وجود دارد؟

در حال حاضر تیم کیف پول گواردا تمام اطلاعات را درباره‌ی آن‌هایی که مورد حمله قرار گرفتند جمع‌آوری می‌کند تا به برآوردی از وجوه از دست‌رفته برسد.

|| بیشتر بخوانیم: آسیب‌ پذیری جدید کشف شده در کیف پول لجر (Ledger Vulnerability)