متوقف شدن تراکنش‌ها در UPCX پس از هک ۷۰ میلیون دلاری که نقاط ضعف را نمایان کرد

پلتفرم پرداخت‌های رمزارزی UPCX به‌طور موقت و به دلیل یک سرقت امنیتی که ممکن است منجر به از دست رفتن حدود ۷۰ میلیون دلار دارایی دیجیتال شده باشد، واریزها و برداشت‌ها را متوقف کرد.

در تاریخ ۱ آوریل، این پلتفرم فاش کرد که به‌دلیل دسترسی غیرمجاز به یک حساب مدیریتی، تمامی تراکنش‌های کاربران را به‌عنوان یک احتیاط فوری متوقف کرده است و تحقیقات داخلی را آغاز کرده است. تیم UPCX به کاربران خود اطمینان خاطر داد که وجوه آنها همچنان ایمن و دست‌نخورده باقی مانده است.

متخصصان امنیت در Cyvers این مشکل را شناسایی کردند و اعلام کردند که چندین تراکنش مشکوک به این پلتفرم مرتبط بوده است.

طبق تحلیل این شرکت، حمله‌کننده به یک کیف پول مدیریتی کلیدی دسترسی یافته و مجوزهای قرارداد هوشمند آن را تغییر داده و عملکردی را فعال کرده است که به او اجازه داد تا ۱۸.۴ میلیون توکن UPC، به ارزش تقریباً ۷۰ میلیون دلار، را جابجا کند.

Cyvers همچنین گفت که وجوه دزدیده شده هنوز در یک کیف پول واحد نگهداری می‌شود و تا لحظه تنظیم این مطلب، هیچ تلاش دیگری برای تبدیل یا انتقال دارایی‌ها مشاهده نشده است.

Meir Dolev، مدیر ارشد فناوری Cyvers، در گفت‌وگو با CryptoSlate توضیح داد که این حمله با بزرگ‌ترین سواستفاده‌های سال گذشته که ناشی از سهوی امنیتی یا کنترل دسترسی ناکافی بوده، مشابه است. این مشکلات بیش از ۸۰ درصد از وجوه دزدیده شده در فضای Web3 در سال گذشته را شامل می‌شود.

Dolev گفت:

“این حادثه الگوهای حملات را که در سواستفاده‌های قبلی مستند شده‌اند، منعکس می‌کند؛ جایی که دسترسی به نقش‌های مدیریتی حیاتی، به ارتقاء‌های مخرب و تخلیه وجوه منجر شده است. این موضوع نیاز فوری به ارتقاء امنیت در اطراف مجوزهای کیف پول، پیاده‌سازی‌های چند امضایی و تأیید تراکنش‌های در حال اجرا را برجسته می‌کند.”

حملات در سه‌ماه نخست

حادثه UPCX اولین هک مهم در سه‌ماه دوم سال است که به فهرست در حال رشد حملات در این سال اضافه می‌شود.

طبق داده‌های PeckShield، بیش از ۱.۶۳ میلیارد دلار در بیش از ۶۰ سواستفاده رمزارزی در سه‌ماه نخست سال دزدیده شده است. این رقم افزایش ۱۳۱ درصدی را نسبت به سه‌ماه نخست سال ۲۰۲۴ نشان می‌دهد که خسارات به ۷۰۶ میلیون دلار رسید.

بزرگ‌ترین حملات در سه‌ماه نخست شامل یک سواستفاده ۱.۴۶ میلیارد دلاری از پلتفرم Bybit و یک نقض به ارزش ۶۹.۱ میلیون دلار در Phemex بود. این دو به تنهایی ۹۴ درصد از کل خسارات را تشکیل می‌دهند.

در حالی که تنها در ماه مارس، ۲۰ هک جداگانه با خسارتی بیش از ۳۳ میلیون دلار ثبت شد. بزرگ‌ترین این حملات، سرقت ۱۳ میلیون دلار از پروتکل DeFi به نام Abracadabra.money بود و بعد از آن یک سواستفاده ۸.۴ میلیون دلاری از Zoth، یک پلتفرم استیکینگ دارایی‌های واقعی، قرار داشت.

محتوای ذکر شده در این مقاله