سرقت ۸۱۵ هزار دلاری از پل بلاک چینی الفیوم؛ دسترسی هکرها به کلید خصوصی

شرکت امنیتی بلاک‌اید (Blockaid) در گزارشی اعلام کرد که پل بلاک چینی الفیوم (Alephium TokenBridge)، که شبکه‌های اتریوم و الفیوم را به یکدیگر متصل می‌کند، هدف یک حمله سایبری قرار گرفته است. در این حادثه که در ۹ خرداد رخ داد، هکرها موفق شدند طی تنها ۷ دقیقه، مبلغی معادل ۸۱۵,۰۰۰ دلار را از این پروتکل خارج کنند. این نفوذ امنیتی از طریق دستیابی به کلیدهای خصوصی نگهبانان پل انجام شده است. جزئیات فنی نفوذ به پل بلاک چینی سیستم تایید تراکنش‌های این پل بر پایه امضای سه نگهبان از مجموع چهار نگهبان (۳ از ۴) بنا شده بود. مهاجمان با به دست آوردن کلیدهای خصوصی سه نگهبان، پیام‌های جعلی موسوم به VAA را تولید کردند که به سیستم القا می‌کرد دارایی‌ها به صورت قانونی قفل شده‌اند. این اقدام به آن‌ها اجازه داد تا نسخه توکنیزه شده دارایی‌ها را بدون پشتوانه واقعی ضرب کرده و از شبکه خارج کنند. تولید دارایی‌های بدون پشتوانه و تخلیه استخرها هکرها با استفاده از امضاهای به دست آمده، ۱۳.۷۶ میلیون واحد توکن wALPH تولید کردند که بیش از کل موجودی در گردش این ارز دیجیتال بود. این دارایی‌های بدون پشتوانه برای آزادسازی ارزهای ارزشمندی همچون تتر، یواس‌دی کوین، رپد بیت کوین و اتریوم به کار گرفته شدند. این الگو شباهت زیادی به هک مشهور پل ورم‌هول (Wormhole) دارد که طی آن دارایی‌های کلانی بدون وثیقه‌گذاری خلق شده بود. این حادثه در حالی رخ می‌دهد که امنیت پل‌های بلاک چینی به یکی از چالش‌های اصلی صنعت ارز دیجیتال تبدیل شده است. تنها مدتی پیش از این اتفاق، پل ورس-اتریوم (Verus-Ethereum) نیز با حمله‌ای مشابه مواجه شد که منجر به از دست رفتن ۱۱.۵۸ میلیون دلار سرمایه شد. کارشناسان بلاک‌اید هشدار می‌دهند که ضعف در مدیریت کلیدهای خصوصی (Guardian Keys) همچنان بزرگ‌ترین نقطه آسیب‌پذیر در پروتکل‌های میان‌زنجیره‌ای است.