هک Pump.fun: زنگ خطر امنیتی برای میم‌کوین‌ها و کریپتو

هک Pump.fun X؛ نگرانی‌های امنیتی در مقطع حساس برای میم کوین‌ها

هکرها در ۲۶ فوریه به حساب X پلتفرم میم کوین Pump.fun دسترسی پیدا کردند و در مقطع حساسی برای میم کوین‌ها و صنعت کریپتو به‌طور کلی، سوالاتی را درباره امنیت مطرح کردند. این پلتفرم از آن زمان کنترل حساب X خود را بازیافته است. Pump.fun اعلام کرد که بعید است هیچ‌یک از کارکنان آن مقصر باشند، زیرا این پلتفرم از «بهترین شیوه‌های صنعت» پیروی کرده و بر کاهش خطر وقوع چنین رویدادی تمرکز داشته است.

به گفته کارشناسان بلاکچین مانند ZachXBT، حمله به این پلتفرم ممکن است توسط همان هکرهایی انجام شده باشد که مسئول سایر سوءاستفاده‌های مشابه بوده‌اند. در حالی که حادثه Pump.fun به سرعت و بدون هیچ‌گونه خسارت قابل توجهی پایان یافت، میم کوین‌ها تحت نظارت بیشتری قرار دارند و مسائل امنیتی در اولویت ذهن صنعت بلاکچین قرار دارند.

پس از دسترسی به حساب X Pump.fun، هکرها به سرعت یک توکن حاکمیتی جعلی را به کاربران بالقوه ارائه کردند و اعلام کردند که «دموکراسی هرگز این‌قدر دژن نبوده است». این نقض حساب به سرعت توسط محقق و تحلیلگر بلاکچین، ZachXBT، شناسایی شد که به کاربران هشدار داد از صفحه X دوری کنند و با هیچ‌یک از لینک‌های موجود در صفحه تعامل نداشته باشند. او همچنین هکرها را به حوادث قبلی حساب‌های X هک شده، یعنی حساب‌های Jupiter DAO و DogWifCoin، ردیابی کرد.

ZachXBT گفت: «قابل توجه است که در این حملات، احتمالاً تقصیر تیم‌های Pump Fun یا Jupiter نیست.» در پست توضیحی خود در X پس از بازیابی دسترسی به حساب خود، Pump.fun جزئیات اقدامات امنیتی مختلفی را که انجام می‌دهد، ارائه کرد. این پلتفرم اعلام کرد که هیچ پیامی به ایمیل مرتبط با حساب در مورد تغییرات احراز هویت دو مرحله‌ای (2FA)، ایمیل، رمز عبور یا تفویض اختیار ارسال نشده است. این پلتفرم همچنین ادعا کرد که تعدادی اقدامات حفاظتی دیگر مانند پشتیبان‌های فیزیکی 2FA، تغییر منظم رمزهای عبور منحصر به فرد و پیچیده و عدم اتصال 2FA به هیچ آدرس ایمیلی را در نظر گرفته است.

آخرین پست Pump.fun در مورد این حادثه اعلام کرد که این پلتفرم «به نظارت بر وضعیت و تجزیه و تحلیل هر سناریویی که ممکن است رخ داده باشد ادامه خواهد داد و در صورت وجود به‌روزرسانی‌ها گزارش خواهد داد.»

هک شبکه‌های اجتماعی Pump.fun تنها جدیدترین مورد در روند بسیار رایج حملات فیشینگ به حساب‌های شبکه‌های اجتماعی مرتبط با ارزهای دیجیتال یا حتی خود مؤسسات است. صرافی ارز دیجیتال Bybit قربانی یک حمله فیشینگ شد که در آن گروه هکری کره شمالی به نام لازاروس توانست بیش از ۱.۴ میلیارد دلار اتر (ETH) را سرقت کند. یک گزارش Chainalysis پس از این حادثه نشان داد که بردار حمله انتخابی هکرها یک کمپین فیشینگ بود که امضاکنندگان کیف پول سرد صرافی را هدف قرار داده بود. این امر به آنها اجازه داد تا به رابط کاربری Bybit دسترسی پیدا کنند و یک قرارداد کیف پول چند امضایی را با نسخه مخرب خود جایگزین کنند.

میم کوین‌ها که به سرعت در میان هیاهوی سرمایه‌گذارانی که به دنبال کسب سود سریع هستند راه‌اندازی می‌شوند و به همان سرعت ناپدید می‌شوند، به هدف اصلی حملات فیشینگ، سوءاستفاده‌ها و رسوایی‌ها تبدیل شده‌اند. همان‌طور که Cointelegraph در ۱۰ فوریه گزارش داد، تعدادی از گردآورندگان داده‌های کریپتو که میم کوین جمهوری آفریقای مرکزی (CAR) را فهرست کرده بودند، کاربران را به سایت‌های فیشینگ هدایت می‌کردند.

این موضوع به‌ویژه مشکل‌ساز بود زیرا رئیس‌جمهور جمهوری آفریقای مرکزی، فوستین-آرچانژ توادرا، به نظر می‌رسید که این توکن را تأیید کرده است. او در X پست کرده بود که دولت این توکن را برای «اتحاد مردم، حمایت از توسعه ملی و قرار دادن جمهوری آفریقای مرکزی در صحنه جهانی به روشی منحصر به فرد» راه‌اندازی کرده است. در زمان انتشار، حساب X این پروژه همچنان معلق است.

علاوه بر این، ZachXBT لازاروس را به تعدادی از کلاهبرداری‌های اخیر میم کوین سولانا، از جمله راگ پول‌ها، در خود Pump.fun مرتبط کرده است: «من بیش از ۹۲۰ آدرس دریافت‌کننده وجوه مرتبط با هک Bybit را عمومی کردم و متوجه شدم که فردی که برای گروه لازاروس پولشویی می‌کرد، قبلاً میم کوین‌ها را از طریق Pump Fun راه‌اندازی کرده بود.»

رسوایی‌های میم کوین‌ها حتی به دفتر ریاست‌جمهوری آرژانتین نیز رسیده است. اوایل فوریه، راه‌اندازی میم کوین LIBRA، که ظاهراً شامل خرید و فروش توسط بنیان‌گذاران بود - یعنی نوعی تجارت داخلی - رئیس‌جمهور آرژانتین، خاویر میلی، را درگیر کرد. این سیاستمدار این توکن را در X تبلیغ کرد و سپس پست خود را زمانی که قیمت آن سقوط کرد، حذف کرد. اگرچه در حادثه LIBRA هیچ حمله سایبری دخیل نبود، اما این موضوع توجه‌ها را به ماهیت غیرقانونی و «غرب وحشی» بازار میم کوین‌ها جلب می‌کند.

فعالیت بازار میم کوین‌ها قبلاً توجه نهادهای نظارتی در سراسر جهان را به خود جلب کرده است. در ۲۰ فوریه، کمیسیون بورس و اوراق بهادار ایالات متحده (SEC) اعلام کرد که در حال ایجاد یک گروه جدید برای مبارزه با سوءرفتارهای سایبری، از جمله کلاهبرداری‌های مربوط به کریپتو است. الیزابت دیویس، شریک در شرکت حقوقی Davis Wright Tremaine و وکیل ارشد سابق کمیسیون معاملات آتی کالای ایالات متحده (CFTC)، گفت که CFTC می‌تواند در آینده بر میم کوین‌ها نظارت کند. او قبلاً به Cointelegraph گفته بود: «تمرکز فزاینده‌ای بر مشارکت‌کنندگان بازار خرده‌فروشی وجود داشته است و CFTC بر حفاظت از مشارکت‌کنندگان بازار در برابر کلاهبرداری و دستکاری متمرکز است و این شامل جمعیت خرده‌فروشی می‌شود که بیشتر احتمال دارد از میم کوین‌ها استفاده کنند.»

حتی نهادهای نظارتی در دبی، که معمولاً رویکردی پیشرو نسبت به ارزهای دیجیتال داشته‌اند، در مورد خطرات میم کوین‌ها هشدار داده‌اند. سازمان دارایی‌های مجازی و نظارتی اعلام کرد: «بسیاری از این دارایی‌ها فاقد ارزش ذاتی هستند و قیمت‌گذاری آنها از روندهای رسانه‌های اجتماعی، هیاهو یا استراتژی‌های تبلیغاتی گمراه‌کننده ناشی می‌شود.» این سازمان همچنین اعلام کرد که میم کوین‌های صادر شده تحت صلاحیت آن باید از قانون پیروی کنند.

رویدادهای اخیر و نظارت فزاینده حتی باعث شده است که بنیان‌گذار ناشناس Pump.fun پیشنهاد کند که صنعت به «محافظت‌های» بیشتری نیاز دارد. این موارد شامل آموزش بهتر کاربران، ورود به سیستم و جدی‌تر گرفتن حفاظت از کاربران بود. در طول تاریخ کریپتو، میم کوین‌ها به طور متناوب محبوب و غیرمحبوب بوده‌اند. نهادهای نظارتی به وضوح در حال آماده شدن برای مقابله با آنها در این چرخه و چرخه بعدی هستند.

در زمان نگارش این مقاله، محبوبیت میم کوین‌ها به پایین‌ترین سطح خود از ژانویه رسیده است، اما برخی معتقدند که این محبوبیت دوباره افزایش نخواهد یافت. بنیان‌گذار پروتکل DeFi Waves، ساشا ایوانوف، به Cointelegraph Magazine گفت: «این اقتصاد استخراجی نمی‌تواند بسیار پایدار باشد و کوتاه‌مدت خواهد بود، بنابراین ممکن است نیم سال دیگر ادامه داشته باشد و سپس شاهد چیز دیگری خواهیم بود.»