پروژه 0 پس از نقض امنیتی GitHub که منجر به حمله فیشینگ به کاربران DeFi شد، تعهد به بازپرداخت می‌دهد

در هشداری که توسط مک‌برنان پیت، بنیان‌گذار Project 0 (P0) به اشتراک گذاشته شد، این مدیر اجرایی متعهد شد که ضررهای تأیید شده را پس از نفوذ مهاجمان به سیستم برای هدایت بازدیدکنندگان وب‌سایت به یک سایت سرقت ارزهای دیجیتال، به طور کامل بازپرداخت کند.

پست مک‌برنان تأیید کرد که حداقل یک کاربر هنگامی که «از روی کنجکاوی» سایت جدید را امتحان کرد، ۱۰۰۰ دلار از دست داد.

حادثه امنیتی هدف‌گیری Project 0 به تعداد رکوردی از سرقت‌های ارزهای دیجیتال توسط عوامل مخرب که از ارتقاء Fusaka سوء استفاده می‌کنند، که قرار بود کارمزد معاملات را برای کاربران شبکه اتریوم به موضوعی فرعی تبدیل کند، افزوده و به الگویی از حملات هدف‌گیری مکان‌های دارای نقدینگی بالا اضافه می‌شود.

Project 0 آخرین ربایش دامنه دیفای را گزارش می‌دهد

طبق افشاگری مک‌برنان، مهاجمان به حساب GitHub یکی از اعضای تیم برنامه دسترسی پیدا کردند که به آن‌ها اجازه داد بازدیدهای کاربران را بین ساعت ۲۱:۴۵ و ۲۲:۱۹ هدایت مجدد کنند. 

اگرچه او منطقه زمانی خود را مشخص نکرد، کاربرانی که سعی کردند در پنجره حمله ۴۰ دقیقه‌ای به وب‌سایت Project 0 مراجعه کنند، به وب‌سایت دیگری هدایت شدند که منجر به از دست دادن حداقل ۱۰۰۰ دلار شد. 

طبق داده‌های Defillama، Project 0، یک کارگزاری اصلی بومی دیفای که به کاربران اجازه می‌دهد در برابر کل پورتفولیوی دیفای خود در چندین مکان وام بگیرند، در حال حاضر نزدیک به ۹۰ میلیون دلار ارزش کل قفل شده (TVL) دارد که از زمان شروع ردیابی در اواخر سال ۲۰۲۵ به بیش از ۱۱۰ میلیون دلار رسیده است. این پروژه همچنین ادعا می‌کند که از حمایت Multicoin، Pantera و Solana Ventures برخوردار است. 

آن سطح از فعالیت و وضعیت، در حالی که برای کاربران جذاب است، همچنین یک منارهٔ راهنما برای مهاجمان به دنبال اهداف با ارزش بالا است. 

Cryptopolitan گزارش داد که OpenEden و BonkFun حملات مشابهی را متحمل شدند زمانی که مهاجمان دامنه‌های ثبت شده به پروژه‌ها را به خطر انداختند. 

در هر دو مورد، حمله بر خزانه‌های پروژه یا موقعیت‌های کاربران تأثیر نگذاشت، زیرا آسیب در این نوع حملات معمولاً محدود به بازدیدکنندگان وب‌سایت در طول پنجره سوء استفاده است که معمولاً به سرعت توسط تیم‌های پاسخگو کاهش می‌یابد. 

در حالی که مقدار دقیق از دست رفته هنوز تأیید نشده است، مک‌برنان متعهد شده است که بازپرداخت را به هر ضرر تأیید شده دیگر مشتری در طول حمله گسترش دهد. 

کاربران اتریوم هدف حملات آدرس ربایی می‌شوند

هنگامی که توسعه‌دهندگان اتریوم ارتقاء Fusaka را در دسامبر ۲۰۲۵ انجام دادند، آن‌ها این ارتقا را به عنوان "رئیس نهایی" در مقرون به صرفه کردن معاملات شبکه اصلی معرفی کردند. 

آنچه آن‌ها پیش‌بینی نکردند این بود که آن به قطعه پازل نهایی برای مهاجمان تعقیب‌کننده اهداف با ارزش بالا در اکوسیستم غنی از نقدینگی اتریوم تبدیل می‌شود، که نزدیک به ۶۰ میلیارد دلار در پروتکل‌های دیفای و بیش از ۱۶۰ میلیارد دلار در ارزش بازار استیبل کوین دارد.  

حساب رسمی Etherscan در X تهدید رو به رشد را در مقاله "حملات آدرس ربایی در اتریوم در حال افزایش است" مطرح کرد. این گزارش به مطالعه سال ۲۰۲۵ اشاره کرد که تلاش‌های آدرس ربایی قبل و بعد از ارتقاء Fusaka را مقایسه می‌کند تا گسترش این حملات را از زمان ارتقاء دسامبر برجسته کند. 

انتقال‌های Dust که واریزهای کوچکی (زیر ۰.۰۱ دلار) هستند که برای جایگزینی آدرس‌ها در تاریخچه معاملات کاربران با کیف پول‌های کنترل شده توسط مهاجمان طراحی شده‌اند، این روند را دنبال کردند زیرا فعالیت معاملاتی در شبکه اصلی اتریوم در ۹۰ روز پس از ارتقاء Fusaka حدود ۳۰ درصد در کل حوزه‌ها افزایش یافت، همراه با افزایش ۷۸ درصدی در ایجاد آدرس‌های جدید. 

جدول مقایسه نرخ حملات آدرس ربایی قبل و بعد از ارتقاء Fusaka. 

این یک بازی اعداد است

Cryptopolitan گزارش کرده است چندین ضرر با پروفایل بالا به بلای جدید کاربران اتریوم، با ضرر ۵۰ میلیون دلاری از دسامبر که بزرگترین سرفصل را ایجاد کرد. ظاهراً قربانی در این حادثه واقعاً ۵۰ دلار در یک معامله آزمایشی ارسال کرد تا مطمئن شود که آدرس صحیح را دارد. 

با این حال، در زمانی که برای آزمایش آدرس و شروع انتقال واقعی ۵۰ میلیون دلاری طول کشید، عوامل مخرب تاریخچه معاملات فرستنده را با انتقال‌های Dust خود نشانه‌گذاری کرده بودند که در نهایت منجر به از دست دادن شد. 

آن حادثه مقیاس و سرعت این عملیات‌ها را برجسته می‌کند، زیرا مهاجمان در واقع برای آدرس ربایی بیشتر قربانیان بالقوه رقابت می‌کنند. همانطور که Etherscan برجسته کرد، "فقط دو انتقال استیبل کوین" توسط یک کاربر سرویس آن "بیش از ۸۹ ایمیل هشدار نظارت آدرس" را ترایگر کرد. 

فقط حدود ۱ از ۱۰۰۰۰ تلاش موفق است، اما هنگامی که کسی ۷۹ میلیون دلار ضرر تأیید شده را در ۱۷ میلیون تلاش هدف‌گیری حدود ۱.۳ میلیون کاربر مقایسه می‌کند، محاسبات برای این مهاجمان که کمتر از ۱ دلار برای هر تلاش متحمل می‌شوند، جمع می‌شود. 

فقط اخبار ارزهای دیجیتال را نخوانید. آن را درک کنید. در خبرنامه ما مشترک شوید. رایگان است.