هکرها به کیف پول Guarda حمله کردند

پاول سوکولوف (Paul Sokolov)، مدیرعامل کیف پول گاردا، در بیانیه‌ای که در وب‌سایت این کیف پول منتشر شد، رخنه امنیتی اخیر این کیف پول را تشریح کرده است. این رخنه امنیتی هفته گذشته در کیف پول تحت وب گاردا رخ داد و هنوز مشخص نیست که چه میزان از دارایی کاربران به سرقت رفته است.

به گزارش انتخاب و طبق بیانیه‌ای که در وب‌سایت گاردا منتشر شده است، این حمله از طریق رخنه در ارائه‌دهنده خدمات میزبانی گوددی (GoDaddy) انجام گرفته است. گوددی یکی از ارائه‌دهندگان مشهور خدمات میزبانی و دامنه است که بسیاری دیگر از فعالان حوزه ارزهای دیجیتال هم از آن استفاده می‌کنند. طبق گزارش‌ها، هکرها با دراختیارگرفتن کنترل حساب کاربری گاردا در گوددی، موفق شده‌اند که دی‌ان‌اس‌های (DNS) موجود را تغییر دهند و کاربران را به یک صفحه ورود تقلبی هدایت کنند.

سوکولوف عنوان می‌کند که صبح ۳۰ دسامبر ۲۰۲۰ (۱۰ دی) احراز هویت دو عاملی حساب آنها در گوددی غیرفعال شده است. داده‌های گوددی هم نشان می‌دهد که پیش از این اتفاق، کسی وارد حساب کاربری گاردا در این وب‌سایت نشده بود. پس از غیرفعال‌شدن احراز هویت دو عاملی، هکرها شماره تلفن، آدرس ایمیل و کلمه عبور (PIN) حساب را تغییر داده‌اند. سوکولوف با انتشار تصویری گفت که پیش از حذف احراز هویت دو عاملی، آخرین ورود به حساب گاردا در گوددی به تاریخ ۲ دسامبر  (۱۲ آذر) باز می‌گردد.

او در ادامه افزود که پس از دراختیارگرفتن کنترل حساب گاردا در گوددی، دی‌ان‌اس‌های آدرس‌های «Guarda.con» و «Guarda.com» تغییر کرد. با تغییر این اطلاعات، کاربران به صفحه‌ای راهنمایی می‌شدند که دقیقاً مشابه صفحه اصلی گاردا بوده است. به این ترتیب تعدادی از کاربران اطلاعات خود را در اختیار هکرها قرار داده‌اند.

سوکولوف گفت که پس از باخبر شدن از این رخنه امنیتی، بلافاصله از طریق تمام راه‌های ارتباطی نظیر فیس‌بوک، تلگرام و توییتر به کاربران اعلام کردند که تا اطلاع ثانوی از گاردا استفاده نکنند. او در ادامه می‌نویسد:

در عرض ۳۰ دقیقه، تمام مدارک موردنیاز به گوددی ارسال شد تا دسترسی به حساب گاردا را به آنها بازگردانند. من [سوکولوف] هم از طریق تلفن با پشتیبانی گوددی در حال صحبت بودم و به آنها التماس می‌کردم که حداقل تا زمانی که به درخواست ما رسیدگی می‌کنند، دامنه را در حالت غیرفعال نگه دارند. متأسفانه هیچ کمک یا راهکاری از طرف تیم گوددی به ما ارائه نشد.

سوکولوف در بخش دیگری از این بیانیه می‌نویسد که به پلیس سایبری استونی اطلاع داده است تا در تحقیقات به آنها کمک کنند. او در ادامه می‌نویسد:

در همین حین که منتظر پاسخ گوددی بودیم، سعی کردیم تا دسترسی هکرها را از طریق کلودفلیر (Cloudflare) قطع کنیم که مشخص شد آنها دامنه را با کلودفلیر خودشان همگام‌سازی کرده‌اند. به‌لطف مهندسان خود، موفق شدیم سرعت وب‌سایت تقلبی را کند و از فعالیت آنها جلوگیری کنیم. تقریباً در ۹۰ درصد زمان‌ها (از زمان اطلاع پیداکردن تیم گاردا)، دسترسی به این وب‌سایت تقلبی ممکن نبود.

سوکولوف می‌گوید حدود ۱۰ ساعت پس از اطلاع از این اتفاق، دسترسی به دامنه خود در گوددی را پس گرفتیم و بلافاصله دی‌ان‌اس‌های خود را روی آن تنظیم کردیم. پس از اطمینان از عملکرد بدون اشکال وب‌سایت، فعالیت گاردا از سر گرفته شد و این کیف پول در حساب‌های خود در شبکه‌های اجتماعی این خبر را اعلام کرد.

گاردا اعلام کرده است افرادی که سرمایه‌های خود را به‌واسطه این رخنه امنیتی از دست داده‌اند می‌بایست از طریق ارسال تیکت، پشتیبانی را مطلع کنند.

کاربران موظف هستند آدرس‌ها، مقدار ارزهای جابه‌جا‌شده و هش تراکنش‌های مذکور را در تیکت خود ذکر کنند. کاربران در پیام خود همچنین باید به‌صورت دقیق اعلام کنند با اشتراک‌گذاری اطلاعات ارسالی آنها با پلیس مشکلی نخواهند داشت.

گاردا اعلام کرده است که هنوز اطلاعات دقیقی از اینکه چه میزان از سرمایه کاربران به سرقت رفته است در اختیار ندارند. نباید فراموش کرد که این رخنه امنیتی از سمت گاردا نبوده است و هکرها با دسترسی به اطلاعات دامنه گاردا، کاربران را به یک صفحه تقلبی هدایت کرده‌اند.