کلیدهای خصوصی هدف حملات بزرگ!
به گزارش مالی خبر، به گزارش دادههای جدید شرکت امنیت سایبری Hacken، مبلغ ۱.۷ میلیارد دلار از داراییهای رمزنگاری شده به دلیل سرقت کلیدهای خصوصی در سال ۲۰۲۴ از دست داده شده است.
در گزارش امنیتی Web3 خود در سال 2024، هکن بیان میکند که سرقت کلیدهای رمزنگاری خصوصی، بهعنوان “مهمترین” تهدید برای سرمایهگذاران رمزنگاری، همچنان باقی خواهد ماند.
به گفته Hacken، تعداد سوء استفادههای قرارداد هوشمند کاهش چشمگیری نسبت به دفعات سرقت کلیدهای رمزنگاری خصوصی دارد.
در سال 2024، آسیبپذیریهای کنترل دسترسی – که به صورت مستقیم با امنیت کلیدهای خصوصی مرتبط میباشد – تقریباً نصف زیانهای حملات هک در حوزه کریپتو را پوشش دادند، که این درصد در سال 2023، 50٪ بوده است.
حملات دادههای سال 2023 نشاندهنده افزایش قابل توجهی در رقابت با حملات در وب 3 بودند که با فروشندگی کمتر از 1 میلیارد دلار از سال گذشته مقایسه شدهاند. از این مبلغ 1.7 میلیارد دلار، 75 درصد به علت آسیبپذیریهای موجود در قراردادهای هوشمند، به خطر افتادند و تنها 14 درصد از کل خسارتها در سال 2024 ناشی از این نوع حملات بودند. این نشان میدهد که تهدیدات اصلی مرتبط با دسترسی غیرمجاز و دزدیده شدن کلیدهای خصوصی میباشد.
کلیدهای خصوصی در رمزنگاری از حروف، کلمات و اعداد تشکیل شدهاند و برای اعطای مجوز به تراکنشها و تأیید مالکیت توسط کیف پولهای رمزنگاریشده استفاده میشوند. این کلیدها جهت رمزگذاری دادهها و داراییها کارایی دارند و از سرقت آنها محافظت میکنند.
شرکت امنیت سایبری به چهار دلیل اشاره میکند که افراد تمایل دارند کلیدهای خصوصی خود را به سرقت ببرند. این دلایل شامل استفاده از پلتفرم مدیریت ناامن، فریب خوردن توسط کمپینهای مهندسی اجتماعی، پشتیبانگیری ناامن از دادهها، و آسیبپذیری در طرحهای تک امضایی کیف پولهای رمزنگاری میشود.
با توجه به گزارش Hacken، سوءاستفاده بزرگترین اتفاق در سال 2024، هک صرافی مرکزی ارز دیجیتال هندی WazirX بود که منجر به دزدیده شدن بیش از 230 میلیون دلار از داراییهای دیجیتال شد.
با وجود استفاده از یک سیستم امنیتی چند بخشی قدرتمند، یک صرافی به دلیل حملونقل غیرمجاز پول از کیفپولهایشان معیب یافت. WazirX از کیفپول چند امضایی Gnosis Safe برای تراکنشهای خود بهره برد که برای انجام هر تراکنش به 4 امضا از مجموع 6 امضا نیاز داشت.
پنج کلید توسط WazirX مدیریت میشد، در حالی که کلید ششم توسط Liminal، یک ارائهدهنده نگهبانی دارایی دیجیتال، کنترل میشد. یک مهاجم موفق شد سیستم را هک کرده و از سه از امضاکنندههای وازیرکس و یکی از امضاکنندههای Liminal امضا بگیرد، سپس به آنها اجازه دهد کیف پول را به یک قرارداد مخرب ارتقا دهند و وجوه را خارج کنند.
منبع : dailyhodl.com
نظرات کاربران