هک داخلی در Pond.fun؛ سرقت ۶۴.۸ اتریوم توسط مهندس ارشد

هک Pond.fun توسط مهندس داخلی؛ استفاده از Chainalysis و Elliptic برای جلوگیری از برداشت وجوه

Pond.fun، پلتفرم راه‌اندازی میم کوین که بر روی Linea میزبانی می‌شود، توسط مهندس ارشد نرم‌افزار پروژه هک شده است. طبق افشای رسمی Pond.fun در شبکه اجتماعی X، این هک صبح امروز اتفاق افتاده و شواهد اولیه درون زنجیره‌ای و خارج از زنجیره به یک مهندس نرم‌افزار در تیم Pond.fun اشاره دارد.

این پلتفرم به کاربران توصیه کرد که از هرگونه تعامل با pond.fun، از جمله وب‌سایت‌های efrogs و croak، خودداری کنند، اما اطمینان داد که Discord و Telegram همچنان امن هستند. مهاجم نقدینگی را از قرارداد هوشمند Pond.fun سرقت کرده و توکن‌ها را به پروتکل حریم خصوصی Railgun منتقل کرده است؛ پروتکلی که به کاربران اجازه می‌دهد تراکنش‌های خود را در بلاکچین مخفی کنند.

این پلتفرم فهرستی از آدرس‌های شبکه اصلی که دارایی‌های سرقتی را دریافت و واریز کرده‌اند، منتشر کرد. مجموع مبلغ منتقل شده ۶۴.۸ اتریوم (ETH) بود.

Pond.fun از Chainalysis و Elliptic، شرکت‌های تحلیل بلاکچین که تراکنش‌های غیرقانونی کریپتو را ردیابی می‌کنند، کمک گرفته است تا از عبور وجوه سرقتی از اثبات بی‌گناهی (POI) جلوگیری کنند، زیرا برخی صرافی‌های متمرکز و دیگر راه‌های خروج "جدی" تحت Railgun از کاربران می‌خواهند که POI ارائه دهند. عدم موفقیت در عبور از بررسی‌های POI باعث می‌شود که هکر نتواند وجوه را از Railgun برداشت کند.

این وضعیت یادآور هک اخیر بانک استیبل کوین Infini است، زیرا آن نیز توسط یک فرد داخلی انجام شد. به طور خاص، توسعه‌دهنده‌ای که به راه‌اندازی قرارداد هوشمند کمک کرده بود، حقوق ادمین را حفظ کرده و سپس از این حقوق برای تخلیه وجوه از طریق Tornado Cash (TORN) استفاده کرد. Infini همچنان در تلاش برای بازیابی دارایی‌های سرقتی است.

این هک تقریباً ۵۰ میلیون دلار از کیف پول Infini را تخلیه کرد و توسط Certik به عنوان دومین خسارت بزرگ در فوریه شناسایی شد.