أدت تجربة بحث مهندس أول معروف في لعبة بلوكشين إلى واحدة من أكبر هجمات هاكر في مجال التشفير. أبدى المهندس اهتمامًا بشركة ثبت لاحقًا أنها وهمية، مما أدى في النهاية إلى حادثة أمنية صدمت الصناعة.
تعرضت سلسلة جانبية من الإيثيريوم المخصصة للعبة للاختراق في مارس من هذا العام، مما أسفر عن خسارة تصل إلى 5.4 مليار دولار من التشفير. على الرغم من أن الحكومة الأمريكية ربطت لاحقًا هذه القضية بمنظمة هاكر على مستوى الدولة، إلا أن التفاصيل المحددة حول استغلال الثغرات لم يتم الكشف عنها بالكامل.
وفقًا لتقرير من وسائل الإعلام، فإن هذه الحادثة تتعلق بإعلان توظيف مزيف.
كشف شخصان مطلعان، في وقت سابق من هذا العام، أن شخصاً يدعي أنه يمثل شركة وهمية اتصل بموظفي شركة تطوير الألعاب عبر منصة تواصل مهني معينة، وشجعهم على التقدم للوظائف. بعد عدة جولات من المقابلات، حصل مهندس على وظيفة ذات راتب مرتفع.
بعد ذلك، تلقى المهندس رسالة PDF تحتوي على إشعار توظيف مزور. بعد تحميل هذا الملف، تمكن برنامج هاكر من التسلل بنجاح إلى النظام. وبهذا، حصل الهاكر على السيطرة على 4 من 9 عقد تحقق على الشبكة، ولم يتبق سوى خطوة واحدة للسيطرة الكاملة على الشبكة بأكملها.
في تحليل ما بعد الصدور الذي تم إصداره في نهاية أبريل، ذكرت شركة تطوير الألعاب: "يستمر الموظفون في التعرض لمجموعة متنوعة من هجمات التصيد الاحتيالي المتقدمة عبر قنوات التواصل الاجتماعي، مما أدى إلى اختراق أحد الموظفين. لم يعد هذا الموظف يعمل لدينا. استخدم المهاجمون الوصول الذي حصلوا عليه للتسلل إلى البنية التحتية لتكنولوجيا المعلومات، وبالتالي السيطرة على عقد التحقق."
تتحمل العقدة الموثوقة عدة وظائف في البلوكشين، بما في ذلك إنشاء كتل المعاملات وتحديث بيانات التنبؤ. تستخدم هذه السلسلة الجانبية آلية "إثبات السلطة"، مما يركز السلطة في أيدي 9 موثوقين.
شرحت شركة تحليل بلوكتشين في مدونة لها في أبريل:"طالما أن 5 من أصل 9 من المدققين قد وافقوا، يمكن نقل الأموال. لقد تمكن المهاجمون من الحصول على المفاتيح الخاصة لـ 5 من المدققين، مما يكفي لسرقة الأصول التشفيرية."
ومع ذلك، بعد أن تمكن هاكر من اختراق النظام من خلال التوظيف الوهمي، سيطر فقط على 4 من أصل 9 من المدققين، ولا يزال هناك خطوة واحدة للسيطرة الكاملة.
كشفت شركة تطوير الألعاب في تقريرها أن الهاكر استغلوا في النهاية المنظمات الداعمة لنظام اللعبة لإتمام الهجوم. كانت الشركة قد طلبت المساعدة من تلك المنظمة في نوفمبر 2021 لمعالجة عبء المعاملات الثقيل.
"تدعم المنظمات السماح لشركات التطوير بالتوقيع على أنواع مختلفة من المعاملات نيابة عنها. تم إيقاف هذه الممارسة في ديسمبر 2021، ولكن لم يتم سحب حق الوصول إلى قائمة التراخيص،" قالت الشركة في مدونتها، "بمجرد دخول المهاجمين إلى النظام، يمكنهم الحصول على التوقيع من عقد التحقق الخاص بالمنظمة."
بعد شهر من حدوث حدث الهاكر، زادت شركة تطوير الألعاب عدد العقد التي تم التحقق منها إلى 11، وأشارت إلى أن الهدف على المدى الطويل هو امتلاك أكثر من 100 عقدة.
رفضت الشركة التعليق على تفاصيل اختراق هاكر. كما أن منصة التواصل الاجتماعي المهنية ذات الصلة لم تستجب لطلبات التعليق.
حصلت شركة تطوير الألعاب في أوائل أبريل على تمويل بقيمة 150 مليون دولار بفضل منصة تداول معينة. ستستخدم هذه الأموال جنبًا إلى جنب مع أموال الشركة الخاصة لتعويض المستخدمين المتأثرين. أعلنت الشركة مؤخرًا أنها ستبدأ في إعادة الأموال إلى المستخدمين اعتبارًا من 28 يونيو. كما أعيد تشغيل جسر الإيثريوم الذي تم تعليقه بعد هجوم هاكر الأسبوع الماضي.
في وقت سابق من اليوم، أصدرت إحدى وكالات الأبحاث الأمنية تقريرًا يوضح أن منظمة هاكر وطنية استغلت منصات التواصل الاجتماعي المهنية وأدوات المراسلة الفورية، مستهدفةً مقاولي الفضاء والدفاع. ومع ذلك، لم يرتبط هذا التقرير بين هذه التقنية وعمليات الاختراق التي تعرضت لها شركات تطوير الألعاب.
بالإضافة إلى ذلك، في أبريل من هذا العام، أصدرت إحدى الوكالات الأمنية تحذيرًا، حيث زعمت أن هذه المنظمة هاكر تستخدم مجموعة من التطبيقات الضارة لاستهداف صناعة العملات الرقمية بهجمات موجهة. تشمل الأساليب المحددة ما يلي:
تلعب دورًا محددًا في وسائل التواصل الاجتماعي الكبرى
التحدث مع مطوري صناعة blockchain عن كثب، تمهيد الطريق للعمل المستقبلي
إنشاء موقع لتداول يبدو طبيعياً، مع الإعلان عن التوظيف كواجهة.
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تسجيلات الإعجاب 18
أعجبني
18
8
مشاركة
تعليق
0/400
HypotheticalLiquidator
· 07-27 15:46
سقطت قطعة دومينو أخرى، المخاطر النظامية تتبعها كظل.
شاهد النسخة الأصليةرد0
tx_pending_forever
· 07-27 14:26
500 مليون دولار، حقًا عذاب
شاهد النسخة الأصليةرد0
CodeAuditQueen
· 07-27 03:19
أبسط ثغرات هجمات الهندسة الاجتماعية، مهما كان الكود جيدًا، لا يمكن أن يمنعها.
شاهد النسخة الأصليةرد0
consensus_whisperer
· 07-25 04:09
لا تتحدث عن ذلك، نقل رقم واحد في العلوم لا يستحق.
شاهد النسخة الأصليةرد0
ImpermanentLossFan
· 07-24 16:18
الشخص غبي ويفتقر إلى النوم، وخمسمائة مليون قد طارت بهذه الطريقة.
5.4 مليون دولار هاكر هجوم مصدره توظيف زائف ثغرة أمان سلاسل جانبية الألعاب تم الكشف عنها
حدث هاكر ضخم للتشفير نشأ من توظيف زائف
أدت تجربة بحث مهندس أول معروف في لعبة بلوكشين إلى واحدة من أكبر هجمات هاكر في مجال التشفير. أبدى المهندس اهتمامًا بشركة ثبت لاحقًا أنها وهمية، مما أدى في النهاية إلى حادثة أمنية صدمت الصناعة.
تعرضت سلسلة جانبية من الإيثيريوم المخصصة للعبة للاختراق في مارس من هذا العام، مما أسفر عن خسارة تصل إلى 5.4 مليار دولار من التشفير. على الرغم من أن الحكومة الأمريكية ربطت لاحقًا هذه القضية بمنظمة هاكر على مستوى الدولة، إلا أن التفاصيل المحددة حول استغلال الثغرات لم يتم الكشف عنها بالكامل.
وفقًا لتقرير من وسائل الإعلام، فإن هذه الحادثة تتعلق بإعلان توظيف مزيف.
كشف شخصان مطلعان، في وقت سابق من هذا العام، أن شخصاً يدعي أنه يمثل شركة وهمية اتصل بموظفي شركة تطوير الألعاب عبر منصة تواصل مهني معينة، وشجعهم على التقدم للوظائف. بعد عدة جولات من المقابلات، حصل مهندس على وظيفة ذات راتب مرتفع.
بعد ذلك، تلقى المهندس رسالة PDF تحتوي على إشعار توظيف مزور. بعد تحميل هذا الملف، تمكن برنامج هاكر من التسلل بنجاح إلى النظام. وبهذا، حصل الهاكر على السيطرة على 4 من 9 عقد تحقق على الشبكة، ولم يتبق سوى خطوة واحدة للسيطرة الكاملة على الشبكة بأكملها.
في تحليل ما بعد الصدور الذي تم إصداره في نهاية أبريل، ذكرت شركة تطوير الألعاب: "يستمر الموظفون في التعرض لمجموعة متنوعة من هجمات التصيد الاحتيالي المتقدمة عبر قنوات التواصل الاجتماعي، مما أدى إلى اختراق أحد الموظفين. لم يعد هذا الموظف يعمل لدينا. استخدم المهاجمون الوصول الذي حصلوا عليه للتسلل إلى البنية التحتية لتكنولوجيا المعلومات، وبالتالي السيطرة على عقد التحقق."
تتحمل العقدة الموثوقة عدة وظائف في البلوكشين، بما في ذلك إنشاء كتل المعاملات وتحديث بيانات التنبؤ. تستخدم هذه السلسلة الجانبية آلية "إثبات السلطة"، مما يركز السلطة في أيدي 9 موثوقين.
شرحت شركة تحليل بلوكتشين في مدونة لها في أبريل:"طالما أن 5 من أصل 9 من المدققين قد وافقوا، يمكن نقل الأموال. لقد تمكن المهاجمون من الحصول على المفاتيح الخاصة لـ 5 من المدققين، مما يكفي لسرقة الأصول التشفيرية."
ومع ذلك، بعد أن تمكن هاكر من اختراق النظام من خلال التوظيف الوهمي، سيطر فقط على 4 من أصل 9 من المدققين، ولا يزال هناك خطوة واحدة للسيطرة الكاملة.
كشفت شركة تطوير الألعاب في تقريرها أن الهاكر استغلوا في النهاية المنظمات الداعمة لنظام اللعبة لإتمام الهجوم. كانت الشركة قد طلبت المساعدة من تلك المنظمة في نوفمبر 2021 لمعالجة عبء المعاملات الثقيل.
"تدعم المنظمات السماح لشركات التطوير بالتوقيع على أنواع مختلفة من المعاملات نيابة عنها. تم إيقاف هذه الممارسة في ديسمبر 2021، ولكن لم يتم سحب حق الوصول إلى قائمة التراخيص،" قالت الشركة في مدونتها، "بمجرد دخول المهاجمين إلى النظام، يمكنهم الحصول على التوقيع من عقد التحقق الخاص بالمنظمة."
بعد شهر من حدوث حدث الهاكر، زادت شركة تطوير الألعاب عدد العقد التي تم التحقق منها إلى 11، وأشارت إلى أن الهدف على المدى الطويل هو امتلاك أكثر من 100 عقدة.
رفضت الشركة التعليق على تفاصيل اختراق هاكر. كما أن منصة التواصل الاجتماعي المهنية ذات الصلة لم تستجب لطلبات التعليق.
حصلت شركة تطوير الألعاب في أوائل أبريل على تمويل بقيمة 150 مليون دولار بفضل منصة تداول معينة. ستستخدم هذه الأموال جنبًا إلى جنب مع أموال الشركة الخاصة لتعويض المستخدمين المتأثرين. أعلنت الشركة مؤخرًا أنها ستبدأ في إعادة الأموال إلى المستخدمين اعتبارًا من 28 يونيو. كما أعيد تشغيل جسر الإيثريوم الذي تم تعليقه بعد هجوم هاكر الأسبوع الماضي.
في وقت سابق من اليوم، أصدرت إحدى وكالات الأبحاث الأمنية تقريرًا يوضح أن منظمة هاكر وطنية استغلت منصات التواصل الاجتماعي المهنية وأدوات المراسلة الفورية، مستهدفةً مقاولي الفضاء والدفاع. ومع ذلك، لم يرتبط هذا التقرير بين هذه التقنية وعمليات الاختراق التي تعرضت لها شركات تطوير الألعاب.
بالإضافة إلى ذلك، في أبريل من هذا العام، أصدرت إحدى الوكالات الأمنية تحذيرًا، حيث زعمت أن هذه المنظمة هاكر تستخدم مجموعة من التطبيقات الضارة لاستهداف صناعة العملات الرقمية بهجمات موجهة. تشمل الأساليب المحددة ما يلي:
رداً على هذه التهديدات، اقترحت هذه الهيئة الأمنية: