اترهایدینگ: پخش بدافزار از قراردادهای هوشمند

گروه اطلاعات تهدیدات گوگل از روشی جدید برای انتشار بدافزار خبر داد که هکرها با جاسازی کد مخرب در قراردادهای هوشمند بلاک چین عمومی، دارایی ها و اطلاعات کاربران را هدف می گیرد. این روش که اترهایدینگ (EtherHiding) نامیده شده است، نخستین بار در سال 2023 شناسایی شد و به گفته گوگل با حملات مهندسی اجتماعی ترکیب می شود.

به نقل از گروه اطلاعات تهدیدات گوگل، مهاجمان ابتدا از طریق ایجاد پروفایلهای جعلی و پیشنهادهای شغلی یا مصاحبه های ساختگی قربانیان را به وب سایت های آلوده هدایت می کنند. وقتی کاربر وارد این سایت ها می شود، اسکریپتی اجرا می شود که از طریق فراخوان های خواندن فقط (read-only) با یک قرارداد هوشمند روی شبکه بلاک چین ارتباط برقرار می کند. استفاده از فراخوان های read-only به هکرها امکان می دهد بدون ثبت تراکنش روی زنجیره، داده ها را استخراج یا عملیات مخرب را اجرا کنند؛ رویکردی که هم ردیابی را دشوار می سازد و هم هزینه کارمزد را کاهش می دهد.

جزئیات فنی روش و بدافزارهای مورد استفاده

گوگل توضیح داده است که کد مخرب در بخش هایی از قرارداد هوشمند پنهان می شود که معمولاً از دید کاربران و برخی تحلیلگرهای مبتنی بر رابط کاربری ساده مخفی می ماند. سپس اسکریپت های جاوااسکریپتی مانند JADESNOW روی دستگاه قربانی دانلود و اجرا می شوند تا اطلاعات حساس شامل کلیدهای خصوصی، کوکی ها یا سایر داده های قابل سوءاستفاده را سرقت کنند. این فرایند به مهاجمان اجازه می دهد بدون ارسال تراکنش هزینه بر، اطلاعات لازم را برداشت کنند یا کاربران را به اعمالی وادار کنند که به از دست رفتن دارایی منجر شود.

در گزارش گوگل آمده است که برخی از این حملات با گروه های هکری مرتبط با کره شمالی، از جمله گروه لازاروس، مرتبط هستند. مهاجمان برای جلب اعتماد قربانیان شبکه های اجتماعی و پیام رسان ها از قبیل دیسکورد و تلگرام استفاده می کنند و با ایجاد هویت های ساختگی توسعه دهندگان یا شرکت های فناوری، اهداف خود را زیر نظر می گیرند.

پیامدها برای بازار و کاربران

این نوع حملات چند پیامد مهم برای اکوسیستم ارز دیجیتال دارد. اول اینکه تشخیص و ردیابی فعالیت های مخرب در سطح قرارداد هوشمند پیچیده تر شده و ابزارهای امنیتی رایج که روی تراکنش های ثبت شده تمرکز دارند ممکن است به طور کامل کارآیی نداشته باشند. دوم، بازیگران بداندیش می توانند با هزینه اندک و بدون ایجاد تراکنش آشکار، دامنه حملات خود را گسترش دهند که این امر تهدید را هم از نظر سرعت انتشار و هم از نظر مقیاس افزایش می دهد.

برای شرکت ها و توسعه دهندگان، وجود کد مخرب در قراردادها به معنای ضرورت بازبینی دقیق تر قراردادهای منتشرشده، ایمن سازی زنجیره تامین نرم افزار و اجرای سیاست های قوی تائید هویت برای روابط کاری است. برای کاربران نهایی نیز افزایش هشیاری در قبال لینک ها و دعوت های ناشناس و عدم اتصال کیف پول به سایت های ناشناخته حیاتی است.

راهکارهای دفاعی و توصیه های امنیتی

گزارش گوگل ضمن هشدار به کاربران، توصیه هایی برای کاهش ریسک ارائه کرده است. از جمله این توصیه ها می توان به خودداری از بازدید و اجرای محتوای وب سایت های ناشناس، احراز هویت دقیق برای پیشنهادهای شغلی یا تماس های کاری، و عدم اتصال کیف پول های حاوی دارایی به صفحات مشکوک اشاره کرد. همچنین استفاده از کیف پول سخت افزاری برای نگهداری کلیدها، به روز نگه داشتن مرورگر و سیستم عامل، و به کارگیری نرم افزارهای آنتی مالور معتبر جزو اقدامات موثر معرفی شده اند.

از منظر توسعه دهندگان قرارداد هوشمند، بررسی دقیق کدهای منتشرشده، امکان مشاهده و آنالیز بایت کد قراردادها پیش از تعامل، و استفاده از روندهای حسابرسی و انتشار شفّافیت قراردادها می تواند به کاهش احتمال سوءاستفاده کمک کند. علاوه بر این، مانیتورینگ رفتار قراردادها و گزارش های تهدید می تواند شناسایی زودهنگام فعالیت های غیرمعمول را تسهیل کند.

در پایان، گروه اطلاعات تهدیدات گوگل از جامعه فعال در حوزه بلاک چین خواسته است نسبت به پیام ها و وب سایت های ناشناس، به ویژه در پلتفرم های گفتگو مانند دیسکورد و تلگرام، با احتیاط عمل کنند و هرگونه فعالیت مشکوک را گزارش دهند. به نقل از این گروه، استقبال از ابزارها و رویکردهای جدید برای کشف و جلوگیری از پنهان سازی بدافزار در قراردادهای هوشمند برای محافظت از دارایی ها و حریم خصوصی کاربران ضروری است.