شارل گیومه، مدیر ارشد فناوری شرکت سازنده کیف پول سختافزاری لجر، روز دوشنبه در شبکه اجتماعی ایکس هشدار داد که یک حمله زنجیره تأمین گسترده در جریان است. این حمله پس از نفوذ به حساب یکی از توسعهدهندگان معتبر در پلتفرم NPM رخ داده است.
به گفته گیومه، کد مخربی که در حال حاضر در پکیجهایی با بیش از یک میلیارد بار دانلود تزریق شده، بهگونهای طراحی شده است که بهصورت مخفیانه آدرسهای کیف پول ارز دیجیتال را در تراکنشها تغییر دهد. این موضوع به این معناست که کاربران بدون آنکه متوجه شوند، ممکن است داراییهای خود را مستقیماً به آدرس هکر ارسال کنند.
جزئیات حمله و مخاطرات برای کاربران
گیومه نام توسعهدهندهای که حساب او هک شده را اعلام نکرد، اما تأکید کرد که این اتفاق نشان میدهد تا چه حد نرمافزارهای متنباز به هم وابستهاند و چرا هرگونه ضعف امنیتی در ابزارهای توسعه میتواند بهسرعت به اقتصاد رمزارزها سرایت کند.
او در گفتوگویی با کویندسک توضیح داد: «NPM ابزاری است که معمولاً در توسعه نرمافزار با جاوااسکریپت استفاده میشود و به توسعهدهندگان امکان میدهد بهراحتی پکیجها را یکپارچهسازی کنند. وقتی مهاجمی به حساب یک توسعهدهنده دسترسی پیدا کند، میتواند کد مخرب را در پکیجهای پرکاربرد تزریق کند.»
به گفته او: «کد مخرب تلاش میکند کاربران را فریب دهد؛ بدین صورت که آدرسهای مورد استفاده در تراکنش یا فعالیتهای روی زنجیره را با آدرس هکر جایگزین میکند.»
گیومه هشدار داد که اگر هر اپلیکیشن غیرمتمرکز یا کیف پول نرمافزاری در هر بلاکچینی از این پکیجهای جاوااسکریپت آلوده استفاده کند، در معرض خطر قرار خواهد گرفت و کاربران ممکن است داراییهای خود را از دست بدهند.
تنها راهحل مطمئن برای محافظت
مدیر فناوری لجر تأکید کرد: «تنها راه مطمئن برای مقابله با این حمله، استفاده از کیف پول سختافزاری با صفحهنمایش امن و پشتیبانی از قابلیت Clear Signing است. این ویژگی به کاربر اجازه میدهد دقیقاً ببیند دارایی به کدام آدرس ارسال میشود و اطمینان یابد که با آدرس مورد نظر مطابقت دارد.»
او افزود: «کیف پولهای سختافزاری بدون صفحهنمایش امن و همچنین هر کیف پولی که از Clear Signing پشتیبانی نمیکند، در معرض ریسک بالایی قرار دارند؛ زیرا امکان بررسی دقیق صحت جزئیات تراکنش وجود ندارد.»
گیومه در پایان خاطرنشان کرد: «این یک فرصت است تا به همه یادآوری کنیم: همیشه تراکنشهای خود را بررسی کنید، هرگز بهصورت کورکورانه امضا نکنید، از کیف پول سختافزاری با صفحهنمایش امن استفاده کنید و همه چیز را با Clear Signing امضا کنید.»
