معجزه‌ای در نجات: بازگشت ۱۰۰ اتریوم به کاربر پس از یک اشتباه فاجعه‌بار

نکات مهم خبر

• یک کاربر قدیمی اتریوم به دلیل یک باگ در رابط کیف پول Safe، ۱۰۰ توکن اتریوم را به مدت چند ساعت از دست داد.
• توسعه‌دهندگان شرکت Protofire که قبلاً نسخه‌ای محافظتی از کیف پول را راه‌اندازی کرده بودند، توانستند دارایی را بازیابی کنند.
• این حادثه هشداری جدی برای کاربران دنیای کریپتو است: همواره کیف پول خود را به‌روز نگه‌دارید و قبل از انجام انتقال‌های بزرگ، تست انجام دهید.

موضوع زمانی آغاز شد که کاربری به نام khalo_0x در شبکه اجتماعی ایکس، تصمیم به انتقال ۱۰۰ اتریوم (ETH) از شبکه اصلی اتریوم به بلاک‌چین Base گرفت. او از رابط رسمی Safe Wallet Bridge استفاده کرده بود.

اما بدون آنکه متوجه شود، یک باگ مهم در رابط کاربری این ابزار باعث شد تا انتقال به یک کیف پول قرارداد هوشمند انجام شود که به نظر می‌رسید متعلق به خود او است – اما در واقع کنترل آن به دست شخص یا نهادی دیگر بود.

ریشه این مشکل، استفاده کاربر از نسخه قدیمی Safe (نسخه 1.1.1 منتشرشده در سال ۲۰۲۰) بود. این نسخه قبل از اینکه قابلیت‌های چندزنجیره‌ای (multichain) رایج شود، منتشر شده بود و در نتیجه فاقد ویژگی‌های حفاظتی که در نسخه‌های جدیدتر وجود دارد، بود.

به همین دلیل، مهاجم (یا به‌نظر اولیه، فردی مشابه) نسخه‌ای مشابه از کیف پول این کاربر را در شبکه Base با تنظیمات مالکیتی متفاوت راه‌اندازی کرد و به محض اینکه انتقال انجام شد، آن فرد توانست اتریوم‌ها را تصاحب کند.

این کاربر در توییتی نوشت:

تمام پس‌انداز زندگی‌ام را تنها با یک کلیک از دست دادم. آن هم بعد از ۸ سال نگهداری ETH و دوری از هرگونه کلاهبرداری. باگ رابط کاربری در ابزار رسمی Bridge این تصور را ایجاد کرد که آدرس مقصد، کیف پول من در Base است – اما این‌طور نبود.

سوءاستفاده از نسخه قدیمی

این توییت واکنش‌های زیادی در جامعه کریپتو برانگیخت و توجه تیم Safe را جلب کرد. توسعه‌دهنده‌ای به نام Tschubotz.eth وارد عمل شد و متوجه شد که آدرس مقصد در شبکه Base در واقع به‌دست یک مهاجم ایجاد نشده، بلکه متعلق به شرکت Protofire است.

این شرکت، توسعه‌دهنده کلاه‌سفید (white-hat) است که برای جلوگیری از سوءاستفاده‌های احتمالی، صدها کیف پول Safe نسخه 1.1.1 را در شبکه Base راه‌اندازی کرده بود.

بنیانگذار Safe در این مورد گفت:

برخلاف حساب‌های عادی، کیف پول‌های هوشمند مانند Safe با کد قرارداد هوشمند مشخص کنترل می‌شوند. از نظر تکنیکی ممکن است کسی بتواند همان کیف پول را با همان ساختار امضا، روی زنجیره‌های مختلف در یک آدرس مشابه مستقر کند. اما در این مورد، نسخه قدیمی کیف پول (1.1.1) عملاً برای چندزنجیره‌ای طراحی نشده بود و این به این معنی است که هرکسی می‌تواند در یک شبکه دیگر، با تنظیمات متفاوت، کیف‌پولی با همان آدرس مستقر کند.

پس از تأیید هویت Khalo، شرکت Protofire بلافاصله تمام ۱۰۰ اتریوم را به او بازگرداند. این انتقال بعد از یک تراکنش آزمایشی با موفقیت انجام شد و مشکل پس از چند ساعت حل شد.

درسی برای آینده کیف پول‌های چندزنجیره‌ای

این واقعه نشان‌دهنده ضرورت وجود ویژگی‌های حفاظتی قوی‌تر برای کاربران در کیف پول‌های جدید است.

نسخه جدید Safe (نسخه 1.2.0) دارای مکانیزم‌های حفاظتی است که مانع از این نوع سوءاستفاده می‌شود، از جمله تغییر در نحوه محاسبه salt برای مستقر کردن قرارداد با CREATE2.

علاوه بر این، ابزار Bridge نیز به‌روزرسانی شده تا در صورت وجود کد متناقض در آدرس مقصد، به کاربر هشدار بدهد. با این حال، نباید فراموش کرد که حتی کاربران با تجربه نیز ممکن است قربانی باگ‌هایی شوند که به‌نظر کوچک هستند.

اگرچه این اتفاق برای Khalo یک شوک بزرگ بود، اما داستان او با بازگرداندن دارایی‌ها به‌خوبی پایان یافت.